Dokumentacja RODO w praktyce, czyli zjedz tego słonia po kawałku

Jest to pierwsza część serii artykułów - poradników poświęconych opracowaniu dokumentacji RODO. Poniżej lista artykułów z cyklu "Dokumentacja RODO w praktyce", które do tej pory zostały opublikowane: 

Jakie dokumenty są wymagane przez RODO? Przygotowanie których dokumentów stanowi dobrą praktykę, a które są całkowicie zbędne? Krótka analiza i pomocne zestawienie dla każdej osoby wdrażającej RODO w organizacji.

Czym jest dokumentacja RODO?

Założę się, że tak jak mnie, również i Tobie, w ostatnim czasie setki razy przewinęła się reklama, która informowała o możliwości zakupu Dokumentów RODO (już nawet na allegro można kupić wdrożenie RODO!). Zawsze, z zaciekawieniem patrzę co sprzedawca dokumentów oferuje i przy okazji za jaką cenę 😉

Jeśli ktoś podobnie, jak ja obserwuje proponowane na rynku wzory gotowych dokumentów to pewnie też nasuwa mu się pytanie: dlaczego ich zakres jest tak różny? co dokładnie powinna zawierać dokumentacja RODO w praktyce?

W poprzednim stanie prawnym wymagane dokumenty były precyzyjnie wymienione. Na zasadzie prostej check – listy można było zweryfikować czy Twoja organizacja spełnia wymogi ustawowe.

Co więcej, Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. wskazywało również z jakich elementów powinna składać się Polityka Bezpieczeństwa oraz Instrukcja Zarządzania.

A jak to wygląda w RODO?

Zupełnie inaczej!

Obejrzyj nasze video o dokumentacji…

… albo przesłuchaj w formie podcastu

Co o dokumentacji ,,mówi” samo RODO?

Tekst RODO nie daje nam odpowiedzi w postaci prostej check - listy z wymaganymi dokumentami.

Rozporządzenie mgliście wyjaśnia, że bezpieczeństwo danych można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk ochrony danych.

Wspomina także o rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania.

I w sumie tyle, jeżeli chodzi o konkrety 😉.

Ustalając, jaki powinien być zakres odpowiednich polityk i innych niezbędnych dokumentów przeanalizowaliśmy cały tekst RODO. Wzięliśmy także pod uwagę główne zasady ochrony danych osobowych (w tym kluczową zasadę rozliczalności).

Krótko  wyjaśnię, że w zasadzie rozliczalności chodzi o to, by administrator danych był w stanie udowodnić, że wywiązuje się ze swoich obowiązków nałożonych na niego przez RODO.

Założenia naszej analizy dobrze obrazuje proste równanie:

OBOWIĄZKI ADO + DOWÓD NA TO, ŻE SIĘ Z NICH WYWIĄZUJE I W JAKI SPOSÓB = DOKUMENTACJA RODO

Obrazując nasze równanie przykładem, w art. 33 RODO jest napisane, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu…

Z tego zdania można wywnioskować, że administrator powinien, w razie wystąpienia pewnych okoliczności, podjąć konkretne działania, w konkretnym czasie.

Pod uwagę musimy wziąć kilka ważnych czynników:
  • W jaki sposób przekazać pracownikom wiedzę o tym co jest, a co nie jest naruszeniem ochrony danych?
  • Do kogo i w jaki sposób zgłosimy naruszenie?
  • W jaki sposób z wiedzą o naruszeniu proceduje osoba, która otrzymała zgłoszenie (np. IOD)? Czy informuje Zarząd/Dyrektora?
  • W jaki sposób postępujemy dalej – czy informujemy osoby, których dane zostały naruszone, a jeśli tak to w jaki konkretnie sposób?
  • Jakie działania podejmiemy, aby zapobiec kolejnym incydentom?

Odpowiedzi na powyższe pytania złożą się na procedurę postępowania z naruszeniami ochrony danych osobowych.

No i mamy jeden z dokumentów RODO.

Dokumentacja RODO – co konkretnie muszę przygotować i czy polityka ochrony danych jest obowiązkowa?

Zacznę od odpowiedzi na drugie pytanie. Nie – polityka ochrony danych, nie jest obowiązkowym dokumentem wymaganym przez RODO.

Z drugiej strony nawiązując do naszego równania, na dokumentację RODO składają się np. procedury oceny skutków czy reagowania na incydenty. I to właśnie Polityka Ochrony Danych jest najlepszym miejscem do zebrania wszystkich procedur w jednym miejscu.

Możemy zastosować model alternatywny – nie wdrażamy Polityki Ochrony Danych, i każdą procedurę wymaganą przez RODO dodajemy w innym miejscu naszej wewnątrzorganizacyjnej dokumentacji.

Na przykład procedurę szkoleń oraz nadawania upoważnień możemy załączyć do istniejących już polityk, czy regulaminów HR.

Jednak w tym przypadku każda procedura znajdzie się w innym miejscu, co skomplikuje funkcjonowanie systemu ochrony danych w naszej organizacji.

Dlatego zdecydowanie rekomendujemy wdrożenie Polityki Ochrony Danych w formie dokumentu skupiającego wszystkie wewnętrzne procedury związane z ochroną danych osobowych.

Dokumenty RODO – co należy opracować:

Wymienione w Rozporządzeniu i wyczytane z niego „między wierszami”:

Nazwa dokumentuStatus dokumentuFunkcja dokumentu RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur RODOArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńMocno zalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganyKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganyKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3,

Art. 12 – 22

Procedura audytu wewnętrznegoMocno zalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychMocno zalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaMocno zalecanyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1, Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany

*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5

Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany

*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5

Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITMocno zalecaneSposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1, Art. 32 ust. 1
Materiały informacyjne dla pracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

 

Co w tych dokumentach jest i dlaczego jest ich tak dużo?

Dokumentów jest całkiem sporo, ponieważ administrator (zwłaszcza duży) ma niestety dużo obowiązków na głowie.

W dokumentach szczegółowo opisuje się wszystkie zadania  Administratora, sposób ich realizacji, postępowanie osób odpowiedzialnych za ochronę danych osobowych w firmie, w tym osób upoważnionych.

Powinno się określać gotowe rozwiązania na różne stany faktyczne, by każda osoba, która zmierzy się z taką sytuacją, była w stanie, na podstawie dokumentacji poradzić sobie sama z rozwiązaniem problemu czy zagadnienia związanego z ochroną danych.

Dokumentacja RODO w praktyce może zawierać też wzory pewnych zapisów, które dopiero na gruncie konkretnych okoliczności, trzeba będzie dostosować do określonej sytuacji (np. obowiązki informacyjne).

A także wszystkie materiały, które mają pomóc zrozumieć, uświadomić, utrwalić wiedzę i dobre zachowania w zakresie bezpieczeństwa danych.

Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami

Podsumowanie…

Dokumentacja RODO w praktyce ma przede wszystkim ułatwić ochronę danych osobowych w Twojej organizacji. Na pewno poziom stosowanych zabezpieczeń będzie różny w zależności od wielkości i rodzaju prowadzonej działalności.

Nie chodzi w tym wypadku o ilość stron w  dokumentacji, ale o to by zawierała wartościowe treści, z których dana organizacja będzie mogła skorzystać w konkretnym przypadku.

W następnych artykułach cyklu RODO Dokumentacja, opiszemy jak powinien wyglądać każdy z Dokumentów RODO wskazany w załączonej tabeli.

Wierzę, że dzięki naszej pomocy będziesz w stanie stworzyć dokumenty samodzielnie.

Jeżeli czujesz, że mimo to zadanie Cię przerasta, skontaktuj się z nami – z przyjemnością pomożemy! 😊

e-learning RODO

Polityka Ochrony Danych wraz z załącznikami

Skorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.

Sprawdź

 

Źródła:

Powiązane artykuły

Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?
rodo faq
Jak długo przechowywać dane osobowe w rejestrach RODO? #RODOFAQ

2 Odpowiedzi

  1. Przemysław

    Witam. Umieściliście Państwo na stronie wzory polityki bezpieczeństwa – szablon. Co z prawami autorskimi to tego dokumentu? Czy mogę go wykorzystać w swojej firmie – legalnie?

    1. Lex Artist

      Dzień dobry 🙂 Tak, może Pan korzystać z naszych szablonów, ale wyłącznie na potrzeby własnej działalności gospodarczej. Udzielamy licencji niewyłącznej bez prawa do udzielania dalszych licencji. Pozdrawiamy

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO