Jakiś czas temu poczyniliśmy wpis w temacie ochrona danych osobowych w kontekście serwisu czy sklepu internetowego. Teraz przyszedł czas na większe konkrety w tym temacie.
Porady prawne online w zakresie RODO stanowią obecnie jeden z najważniejszych obszarów doradztwa online. Jak wszyscy wiemy rok 2018 przyniósł duże zmiany z uwagi na RODO, a ochrona danych osobowych w firmie stała się bardzo ważnym aspektem w funkcjonowaniu każdej firmy, w tym działalności online. We wcześniejszym wpisie w kontekście tematu „rodo dla sklepów internetowych” przedstawiliśmy pewne ogólne założenia RODO, w tym zasady przetwarzania i funkcjonowania przepisów w obszarze e-commerce. Między innymi wspominaliśmy, iż regulamin serwisu internetowego czy regulamin sklepu internetowego nie musi bardzo kompleksowo odnosić się do tematu. Ważne, aby wskazywał podstawowe informacje na temat administratora danych osobowych oraz cele przetwarzania. Praktyka jest taka, iż postanowienia dotyczące ochrony danych osobowych zawiera się w ograniczonej formie w takich dokumentach jak regulamin e-sklepu czy regulamin serwisu internetowego. Główne postanowienia przenosi się do oddzielnej polityki prywatności. Można jednak stosować rozwiązania inne, pod warunkiem, iż stosowne postanowienia są zawarte w dokumentach na stronie serwisu czy sklepu. Wspominaliśmy szczegółowo o polityce prywatności, która musi wyczerpać określone obowiązki informacyjne oraz o klauzulach zgody na stronę www tzw. checkboxach. Konieczność zamieszczania checkboxów wynika m.in. z ustawy o prawach konsumenta czy ustawy o świadczeniu usług drogą elektroniczną.
Jednak rodo dokumentacja to szersze pojęcie. W systemie RODO administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:
a) prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
b) zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
c) prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
d) zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.
Jednak dokumenty rodo, poza aspektami powyżej wskazanymi nie są precyzyjnie wskazane z nazwy. Zgodnie z art. 24 RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Zatem dotychczasowa dokumentacja sprzed ery RODO może z powodzeniem być wykorzystywana w celu stworzenia komplementarnego pakietu pod nazwą „dokumentacja rodo”. W skład tego wchodzi osobna polityka bezpieczeństwa przetwarzania danych osobowych, instrukcja zarządzania systemem informatycznym, umowy powierzenia, ewidencje, rejestry, procedury, klauzule informacyjne etc.
Często zadawane jest pytanie czy rodo dokumentacja rzeczywiście musi zawierać politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym. RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Ale trzeba uwzględniać przywoływany już art. 24 RODO oraz art. 32, z którego wynika to pośrednio. Stanowi on „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…). Warto również wskazać normę PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:
a) zarządzanie aktywami (przetwarzanymi zbiorami danych),
b) kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
c) środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
d) bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
e) bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
f) pozyskiwanie, rozwój i utrzymywanie systemów,
g) relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
h) zarządzanie incydentami związanymi z bezpieczeństwem informacji,
i) zarządzanie ciągłością działania,
j) zgodność z wymaganiami prawnymi i umownymi.
Część z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Zatem większość firm, w tym eprawohub.pl oferując takie usługi, zawiera instrukcję zarządzania systemem teleinformatycznym zgodną z wymogami RODO.
Reasumując oprócz znanej nam polityki bezpieczeństwa czy instrukcji mamy nowe elementy w ramach nie tylko rodo w sklepie internetowym czyli w e-commerce, ale szerzej jako rodo dokumentacja dla firm, bez względu na branże. Przede wszystkim mamy tu na myśli wynikający z art. 30 RODO rejestr czynności przetwarzania czy rejestr kategorii czynności przetwarzania, rejestr naruszeń, procedury w przypadku naruszeń czy różne raporty. Zatem dokumenty rodo oprócz znanych nam już dokumentów wprowadzają nowe elementy, które muszą być spełnione, aby ochrona danych osobowych w firmie funkcjonowała na wysokim poziomie. Niniejszy wpis należy traktować jako porada prawna online w zakresie przedmiotowego tematu.