W zakresie ochrony danych osobowych, dokumentacja RODO jest obowiązkiem każdego przedsiębiorcy. Struktura dokumentacji jest przywilejem i każdy administrator danych osobowych (ADO) może ją kreować według własnego uznania na podstawie przeprowadzonej analizy ryzyka. Przepisy RODO nakładają na administratorów obowiązek stosowania środków adekwatnych do stwierdzonych zagrożeń i ryzyk, a nie rozwiązań ustandaryzowanych, wskazanych w przepisach prawnych bez odniesienia do konkretnych procesów przetwarzania danych, kategorii danych czy też celów przetwarzania.
Wzorcowa dokumentacja RODO
W swojej ofercie posiadam gotową do wdrożenia „Politykę bezpieczeństwa ochrony danych osobowych” opracowaną zgodnie z Rozporządzeniem RODO 2016/679 z dnia 27 kwietnia 2016 r.
Każda dokumentacja sprzedawana jest w formie elektronicznej, z prawem do edycji oraz do samodzielnego wydruku dowolną ilość razy.
Dokumentacja RODO – ogólne wymagania
- Dokumentacja RODO powinna być przede wszystkim:
- Przejrzysta.
- Spójna.
- Prosto sformułowana.
- Dostępna dla osób z niej korzystających.
- Kompletna.
- Zawsze kiedy tworzymy dokumentację należy:
- Zrobić to zrozumiale.
- Zrobić to rzetelnie.
- Stosować fakty, a nie przypuszczenia.
- Praktyczne zasady tworzenia dokumentacji:
- Każdy dokument powinien być napisany w sposób prosty i łatwy do zrozumienia.
- Nowo powstałe dokumenty koniecznie muszą być zweryfikowane.
- W tworzonej dokumentacji, jeśli to możliwe, należy stosować odnośniki do dokumentów istniejących.
- Jeśli to możliwe, każdy opis działania należy uzupełnić schematem lub rysunkiem.
- Liczba dokumentów powinna być maksymalnie ograniczona.
- Każdy tworzony dokument powinien w jak największym stopniu stanowić połączenie dokumentów istniejących.
- Raz sporządzony opis działania nie powinien być powtarzany.
- Nie tworzymy fikcji – w dokumentach należy opisywać rozwiązania funkcjonujące w przedsiębiorstwie, a nie takie, które powinny być zastosowane jako bardziej poprawne.
- Dokumentacja RODO powinna zawierać takie cechy, aby pozwalała ocenić, czy system w danym zakładzie jest kompletny i czy jest prawidłowo zaprojektowany.
- Przyjęta forma i treść opisów, musi być przejrzysta i zrozumiała dla osób korzystających z dokumentacji, zarówno pracowników zakładu, jak i zewnętrznych audytorów i inspektorów urzędowej kontroli.
- Procedury i zapisy powinny być przystosowane i proporcjonalne do charakteru i wielkości zakładu.
- Dokumentacja danych osobowych powinna być na bieżąco aktualizowana, poprawiana w miarę potrzeb oraz dostosowywana do nowych warunków. Oznacza to również, że po dokumentacji można pisać i kreślić oraz, w miarę potrzeby, drukować ją na nowo.
Dokumentacja RODO – wymagania rozporządzenia
- W zależności od struktury zakładu lub wdrożonych systemów jakości, dokumentacja RODO w zakresie ochrony danych osobowych może być różna i może obejmować odmienne procedury.
- Zatem, nieprawdą jest, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
- Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych.
- W praktyce oznacza to, że administrator ma obowiązek wykazać, że:
Nazwa dokumentu określona w RODO | Funkcja | Podstawa |
Polityka ochrony danych osobowych | Zbiór wszystkich procedur RODO | Art. 24 ust. 2 |
Zasady retencji danych | Dokument określa zasady usuwania niepotrzebnych już danych osobowych | Art. 5 ust. 1 lit. e) |
Zasady privacy by design i privacy by default | Dokument powinien określać w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności | Art. 25 |
Struktura organizacyjna w zakresie ochrony danych osobowych | Dokument powinien opisywać zakres odpowiedzialności w zakresie danych osobowych, np. IOD, ASI, kierownicy działów, itp. | Art. 24 ust. 1, Art. 32 ust. 1 |
Procedura nadawania upoważnień | Procedura powinna opisywać zasady nadawania upoważnienia do przetwarzania danych osobowych | Art. 29 |
Ewidencja upoważnień | Ewidencja służy do kontroli liczby osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia | Art. 29 |
Procedura szkoleń | Procedura powinna określać zasady prowadzenia szkoleń dla personelu uczestniczącego w przetwarzaniu danych osobowych | Art. 39 |
Postępowanie z incydentami ochrony danych osobowych | Określenie zasad postępowania z incydentami ochrony danych osobowych (kto i w jaki sposób) | Art. 33 |
Ocena skutków dla ochrony danych osobowych (DPIA) | Dokument powinien opisywać kiedy i w jaki sposób oceniamy skutki dla ochrony danych | Art. 35 |
Realizacja praw osób, których dane dotyczą | Opis zasad realizacji praw osób, których dane dotyczą | Art. 7 ust. 3, Art. 12 – 22 |
Procedura audytu wewnętrznego | Określenie zasad i okresów wykonywania kontroli systemu ochrony danych osobowych w organizacji | Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b) |
Kontrola podmiotów przetwarzających | Opisanie zasad kontroli procesorów (podwykonawców) | Art. 28 ust. 3 lit. h) |
Opis środków bezpieczeństwa | Procedura określa, środki bezpieczeństwa stosowane w sferze: organizacyjnej, technicznej, informatycznej, w tym procedury związane z pseudonimizacją i szyfrowaniem | Art. 24 ust. 1, Art. 32 ust. 1 |
Rejestr czynności przetwarzania (zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5) | Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji | Art. 30 ust. 1 |
Rejestr kategorii czynności przetwarzania (zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5) | Rejestr wszystkich informacji w zakresie danych, które zostały organizacji powierzone | Art. 30 ust. 2 |
Procedury IT | Procedura zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowych | Art. 24 ust. 1, Art. 32 ust. 1 |
Materiały informacyjne dla pracowników (regulamin ochrony danych osobowych) | Podnoszenie świadomości pracowników w zakresie ochrony danych osobowych | Art. 39 |
Plan ciągłości działania | Plan postępowania na wypadek awarii lub innego czynnika zewnętrznego powodującego brak dostępności | Art. 32 ust 1 pkt b RODO |
Procedury odtwarzania systemu po awarii, oraz ich testowania | Instrukcje postępowania po awarii systemu lub braku dostępności do danych osobowych | Art. 32 ust 1 pkt c i d |
Procedura na wypadek wystąpienia naruszeń | Opis postępowania na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć | Art. 34 |
Instrukcja zarządzania systemem informatycznym
W swojej ofercie posiadam gotową do wdrożenia „Instrukcja zarządzania systemem informatycznym” opracowaną zgodnie z Rozporządzeniem RODO 2016/679 z dnia 27 kwietnia 2016 r.
Każda dokumentacja sprzedawana jest w formie elektronicznej, z prawem do edycji oraz do samodzielnego wydruku dowolną ilość razy.