BHPEX Logo
Kontakt 68 411 40 00

Dokumentacja ochrony danych osobowych

W zakresie ochrony danych osobowych, dokumentacja RODO jest obowiązkiem każdego przedsiębiorcy. Struktura dokumentacji jest przywilejem i każdy administrator danych osobowych (ADO) może ją kreować według własnego uznania na podstawie przeprowadzonej analizy ryzyka. Przepisy RODO nakładają na administratorów obowiązek stosowania środków adekwatnych do stwierdzonych zagrożeń i ryzyk, a nie rozwiązań ustandaryzowanych, wskazanych w przepisach prawnych bez odniesienia do konkretnych procesów przetwarzania danych, kategorii danych czy też celów przetwarzania.

Dokumentacja ochrony danych osobowych
W świetle obowiązujących przepisów, każdy podmiot przetwarzający dane osobowe, bez względu na rodzaj prowadzonej działalności, zobowiązany jest do opracowania i wdrożenia dokumentacji ochrony danych osobowych, zwanej kodeksem postępowania, a następnie wdrożenia w życie procedur, mających na celu ochronę danych.

Wzorcowa dokumentacja RODO

W swojej ofercie posiadam gotową do wdrożenia „Politykę bezpieczeństwa ochrony danych osobowych” opracowaną zgodnie z Rozporządzeniem RODO 2016/679 z dnia 27 kwietnia 2016 r.

Każda dokumentacja sprzedawana jest w formie elektronicznej, z prawem do edycji oraz do samodzielnego wydruku dowolną ilość razy.

Dokumentacja RODO – ogólne wymagania

  1. Dokumentacja RODO powinna być przede wszystkim:
    • Przejrzysta.
    • Spójna.
    • Prosto sformułowana.
    • Dostępna dla osób z niej korzystających.
    • Kompletna.
  2. Zawsze kiedy tworzymy dokumentację należy:
    • Zrobić to zrozumiale.
    • Zrobić to rzetelnie.
    • Stosować fakty, a nie przypuszczenia.
  3. Praktyczne zasady tworzenia dokumentacji:
    • Każdy dokument powinien być napisany w sposób prosty i łatwy do zrozumienia.
    • Nowo powstałe dokumenty koniecznie muszą być zweryfikowane.
    • W tworzonej dokumentacji, jeśli to możliwe, należy stosować odnośniki do dokumentów istniejących.
    • Jeśli to możliwe, każdy opis działania należy uzupełnić schematem lub rysunkiem.
    • Liczba dokumentów powinna być maksymalnie ograniczona.
    • Każdy tworzony dokument powinien w jak największym stopniu stanowić połączenie dokumentów istniejących.
    • Raz sporządzony opis działania nie powinien być powtarzany.
    • Nie tworzymy fikcji – w dokumentach należy opisywać rozwiązania funkcjonujące w przedsiębiorstwie, a nie takie, które powinny być zastosowane jako bardziej poprawne.
  4. Dokumentacja RODO powinna zawierać takie cechy, aby pozwalała ocenić, czy system w danym zakładzie jest kompletny i czy jest prawidłowo zaprojektowany.
  5. Przyjęta forma i treść opisów, musi być przejrzysta i zrozumiała dla osób korzystających z dokumentacji, zarówno pracowników zakładu, jak i zewnętrznych audytorów i inspektorów urzędowej kontroli.
  6. Procedury i zapisy powinny być przystosowane i proporcjonalne do charakteru i wielkości zakładu.
  7. Dokumentacja danych osobowych powinna być na bieżąco aktualizowana, poprawiana w miarę potrzeb oraz dostosowywana do nowych warunków. Oznacza to również, że po dokumentacji można pisać i kreślić oraz, w miarę potrzeby, drukować ją na nowo.

 

Dokumentacja RODO – wymagania rozporządzenia

  • W zależności od struktury zakładu lub wdrożonych systemów jakości, dokumentacja RODO w zakresie ochrony danych osobowych może być różna i może obejmować odmienne procedury.
  • Zatem, nieprawdą jest, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
  • Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych.
  • W praktyce oznacza to, że administrator ma obowiązek wykazać, że:
Nazwa dokumentu określona w RODOFunkcjaPodstawa
Polityka ochrony danych osobowychZbiór wszystkich procedur RODOArt. 24 ust. 2
Zasady retencji danychDokument określa zasady usuwania niepotrzebnych już danych osobowychArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultDokument powinien określać w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatnościArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychDokument powinien opisywać zakres odpowiedzialności w zakresie danych osobowych, np. IOD, ASI, kierownicy działów, itp.Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńProcedura powinna opisywać zasady nadawania upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńEwidencja służy do kontroli liczby osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńProcedura powinna określać zasady prowadzenia szkoleń dla personelu uczestniczącego w przetwarzaniu danych osobowychArt. 39
Postępowanie z incydentami ochrony danych osobowychOkreślenie zasad postępowania z incydentami ochrony danych osobowych (kto i w jaki sposób)Art. 33
Ocena skutków dla ochrony danych osobowych (DPIA)Dokument powinien opisywać kiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząOpis zasad realizacji praw osób, których dane dotycząArt. 7 ust. 3, Art. 12 – 22
Procedura audytu wewnętrznegoOkreślenie zasad i okresów wykonywania kontroli systemu ochrony danych osobowych w organizacjiArt. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychOpisanie zasad kontroli procesorów (podwykonawców)Art. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaProcedura określa, środki bezpieczeństwa stosowane w sferze: organizacyjnej, technicznej, informatycznej, w tym procedury związane z pseudonimizacją i szyfrowaniemArt. 24 ust. 1, Art. 32 ust. 1

Rejestr czynności przetwarzania

(zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5)

Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacjiArt. 30 ust. 1

Rejestr kategorii czynności przetwarzania

(zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5)

Rejestr wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITProcedura zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1, Art. 32 ust. 1
Materiały informacyjne dla pracowników (regulamin ochrony danych osobowych)Podnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39
Plan ciągłości działaniaPlan postępowania na wypadek awarii lub innego czynnika zewnętrznego powodującego brak dostępnościArt. 32 ust 1 pkt b RODO
Procedury odtwarzania systemu po awarii, oraz ich testowaniaInstrukcje postępowania po awarii systemu lub braku dostępności do danych osobowychArt. 32 ust 1 pkt c i d
Procedura na wypadek wystąpienia naruszeńOpis postępowania na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach jakie powinni wykonać, aby ryzyko to ograniczyćArt. 34

Instrukcja zarządzania systemem informatycznym

W swojej ofercie posiadam gotową do wdrożenia „Instrukcja zarządzania systemem informatycznym” opracowaną zgodnie z Rozporządzeniem RODO 2016/679 z dnia 27 kwietnia 2016 r.

Każda dokumentacja sprzedawana jest w formie elektronicznej, z prawem do edycji oraz do samodzielnego wydruku dowolną ilość razy.

Wytyczne do dokumentacji przetwarzania danych osobowych zgodnie z RODO wydane przez Urząd Ochrony Danych Osobowych znajdują się tutaj
menu
dział RODO