BHPEX Logo
Kontakt 68 411 40 00

Dokumentacja ochrony danych osobowych

Dokumentacja ochrony danych osobowych to obowiązek, nie przywilej. Jej struktura to przywilej nie obowiązek.

Dokumentacja ochrony danych osobowych
W świetle obowiązujących przepisów, każdy podmiot przetwarzający dane osobowe, bez względu na rodzaj prowadzonej działalności, zobowiązany jest do opracowania i wdrożenia dokumentacji ochrony danych osobowych, zwanej kodeksem postępowania, a następnie wdrożenia w życie procedur, mających na celu ochronę danych.

Indywidualne podejście do dokumentacji

  • W zależności od struktury zakładu lub wdrożonych systemów jakości, dokumentacja ochrony danych osobowych może być różna i może obejmować odmienne procedury. Nie mniej jednak zgodnie z Ustawą o ODO, zawsze musi zawierać Politykę bezpieczeństwa ochrony danych osobowych oraz Instrukcję zarządzania systemem informatycznym. Zgodnie z rozporządzeniem RODO, dokumentacja nazywa się kodeksem postępowania.
  • Zdaję sobie sprawę, że prawidłowe opracowanie wymaga uwzględnienia specyfiki Twojej branży, realizowanych zadań i przyjętej struktury organizacyjnej. Dlatego właśnie, do potrzeb każdego klienta podchodzę indywidualnie, odrzucając szablonowe rozwiązania. Moja dokumentacja ochrony danych osobowych jest kompleksowa i indywidualnie dopasowana do zakładu oraz co najważniejsze, zgodna z wymogami ustawy o ochronie danych osobowych, aktów wykonawczych, przepisów branżowych i wytycznych GIODO.
  • Wspólnym mianownikiem każdej dokumentacji, jest kontrola i weryfikacja. Oznacza to, że jest ona każdorazowo sprawdzana przez Generalnego Inspektora Ochrony Danych Osobowych lub Państwową Inspekcję Pracy w ramach podpisanego porozumienia z GIODO. Dokumentacja weryfikowana jest również przez audytorów wiodących, przy certyfikacji zakładu na zgodność z systemem jakości ISO 27001 lub ISO 9001.

Wzorcowa dokumentacja ochrony danych osobowych

Tworzę od podstaw dokumentację Ochrony Danych Osobowych, jest ona dostosowana do Twojego zakładu pracy. Możesz również kupić jedną z kilku gotowych pozycji w naszym sklepie internetowym, które dostępne są od ręki.

Każda dokumentacja sprzedawana jest w formie elektronicznej, z prawem do edycji oraz do samodzielnego wydruku dowolną ilość razy.

Najważniejsze cechy dokumentacji ochrony danych osobowych

  1. Dokumentacja powinna być przede wszystkim:
    • Przejrzysta.
    • Spójna.
    • Prosto sformułowana.
    • Dostępna dla osób z niej korzystających.
    • Kompletna.
  2. Zawsze kiedy tworzymy dokumentację należy:
    • Zrobić to zrozumiale.
    • Zrobić to rzetelnie.
    • Stosować fakty, a nie przypuszczenia.
  3. Praktyczne zasady tworzenia dokumentacji:
    • Każdy dokument powinien być napisany w sposób prosty i łatwy do zrozumienia.
    • Nowo powstałe dokumenty koniecznie muszą być zweryfikowane.
    • W tworzonej dokumentacji, jeśli to możliwe, należy stosować odnośniki do dokumentów istniejących.
    • Jeśli to możliwe, każdy opis działania należy uzupełnić schematem lub rysunkiem.
    • Liczba dokumentów powinna być maksymalnie ograniczona.
    • Każdy tworzony dokument powinien w jak największym stopniu stanowić połączenie dokumentów istniejących.
    • Raz sporządzony opis działania nie powinien być powtarzany.
    • Nie tworzymy fikcji – w dokumentach należy opisywać rozwiązania funkcjonujące w przedsiębiorstwie, a nie takie, które powinny być zastosowane jako bardziej poprawne.
  4. Przyjęta forma i treść opisów, musi być przejrzysta i zrozumiała dla osób korzystających z dokumentacji, zarówno pracowników zakładu, jak i zewnętrznych audytorów i inspektorów urzędowej kontroli.
  5. Dokumentacja i zapisy powinny być przystosowane i proporcjonalne do charakteru i wielkości zakładu.
  6. Dokumentacja powinna zawierać takie cechy, aby pozwalała ocenić, czy system w danym zakładzie jest kompletny i czy jest prawidłowo zaprojektowany.
  7. Dokumentacja danych osobowych powinna być na bieżąco aktualizowana, poprawiana w miarę potrzeb oraz dostosowywana do nowych warunków. Oznacza to również, że po dokumentacji można pisać i kreślić oraz, w miarę potrzeby, drukować ją na nowo.

Jak prowadzenie dokumentacji ochrony danych reguluje RODO

  • W porównaniu do Ustawy o ODO, inspektor ochrony danych zgodnie z RODO dysponuje zdecydowanie większą elastycznością przy podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych.Jego zadaniem jest wdrożenie odpowiednich środków, by zapewnić spełnienie wymogów ogólnego rozporządzenia.
  • Aby wykazać przestrzeganie RODO, administrator musi przyjąć wewnętrzne polityki i wdrażyć odpowiednie środki, którymi mogą być:
    • minimalizacja przetwarzania danych,
    • jak najszybsza pseudonimizacja danych np. poprzez użycie zamiast imienia i nazwiska rzeczywistej osoby – liczby,
    • przejrzystość co do funkcji przetwarzania danych,
    • umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych,
    • umożliwienie administratorowi tworzenia i doskonalenia zabezpieczeń.
  • Dokumentacja zgodna z RODO musi być odpowiednio aktualizowana w  razie zaistnienia odpowiednich przesłanek. Przykładowo w razie zmiany systemu zabezpieczeń, budynków czy procedur związanych z dostawą usług internetowych.

Dokumentacja bezpieczeństwa

Rozporządzenie precyzyjnie nie reguluje tych kwestii i zostawia tą dowolność dla IOD. Po podjęciu współpracy ze mną, moja dokumentacja zawierać będzie:

  • Strategia bezpieczeństwa.
  • Polityka bezpieczeństwa.
  • Rejestr operacji przetwarzania danych osobowych.
  • Polityka monitorowania i reagowania na naruszenia ochrony danych.
  • Rejestr incydentów.
  • Polityka zarządzania ryzykiem utraty prywatności (Privacy Impact Assessment).
  • Raport z analizy (Privacy Impact Assessment).
  • Procedura zarządzania zmianą / zarządzania projektami (Privacy by Design).
  • Plan awaryjny / polityka zarządzania kopiami zapasowymi.
  • Procedura zarządzania użytkownikami i dostępem.
  • Standardy zabezpieczeń.

Dostosowanie dokumentacji do wymagań RODO

W ramach mojej obsługi, nie wymieniam starej dokumentacji na nową, nie zalecam pisania nowych procedur. Nie niszczę czegoś, co zostało zbudowane i sprawdzone przez wiele lat. Staram się maksymalnie dokumentację zaktualizować i dostosować do wymagań RODO poprzez:

  • Przeprowadzenie analizy stanu obecnego dokumentacji.
  • Wybieranie docelowej struktury dokumentacji.
  • Wskazanie brakujących dokumentów i braki w dokumentach na podstawie wyników inwentaryzacji danych oraz analizy ryzyka.
  • Stworzenie lub uzupełnienie dokumentacji.

W ofercie naszego sklepu internetowego posiadamy gotową, kompletną dokumentację ochrony danych osobowych, która jest dostępna od ręki:

  1. Polityka bezpieczeństwa ochrony danych osobowych.
  2. Instrukcja zarządzania systemem informatycznym.

menu
dział GIODO