Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

RODO dokumentacja w praktyce, czyli zjedz tego słonia po kawałku

Jest to pierwsza część serii artykułów - poradników poświęconych opracowaniu dokumentacji RODO. Poniżej lista artykułów z cyklu "Dokumentacja RODO", które do tej pory zostały opublikowane: 

Jakie dokumenty są wymagane przez RODO? Przygotowanie których dokumentów stanowi dobrą praktykę, a które są całkowicie zbędne? Krótka analiza i pomocne zestawienie dla każdej osoby wdrażającej RODO w organizacji.

Czym są dokumenty RODO?

Założę się, że tak jak mnie, również i Tobie, w ostatnim czasie setki razy przewinęła się reklama, która informowała o możliwości zakupu Dokumentów RODO (już nawet na allegro można kupić wdrożenie RODO!). Zawsze, z zaciekawieniem patrzę co sprzedawca dokumentów oferuje i przy okazji za jaką cenę 😉

Jeśli ktoś podobnie, jak ja obserwuje proponowane na rynku wzory gotowych dokumentów to pewnie też nasuwa mu się pytanie: dlaczego ich zakres jest tak różny? oraz co powinna zawierać dobrze wykonana dokumentacja RODO?

W poprzednim stanie prawnym wymagane dokumenty były precyzyjnie wymienione. Na zasadzie prostej check – listy można było zweryfikować czy Twoja organizacja spełnia wymogi ustawowe.

Co więcej, Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. wskazywało również z jakich elementów powinna składać się Polityka Bezpieczeństwa oraz Instrukcja Zarządzania.

A jak to wygląda w RODO?

Zupełnie inaczej!

Co o tym mówi samo RODO?

Tekst RODO nie daje nam odpowiedzi w postaci prostej check - listy z wymaganymi dokumentami.

Rozporządzenie mgliście wyjaśnia, że bezpieczeństwo danych można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk ochrony danych.

Wspomina także o rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania.

I w sumie tyle, jeżeli chodzi o konkrety 😉.

Ustalając, jaki powinien być zakres odpowiednich polityk i innych niezbędnych dokumentów przeanalizowaliśmy cały tekst RODO. Wzięliśmy także pod uwagę główne zasady ochrony danych osobowych (w tym kluczową zasadę rozliczalności).

Krótko  wyjaśnię, że w zasadzie rozliczalności chodzi o to, by administrator danych był w stanie udowodnić, że wywiązuje się ze swoich obowiązków nałożonych na niego przez RODO.

Założenia naszej analizy dobrze obrazuje proste równanie:

OBOWIĄZKI ADO + DOWÓD NA TO, ŻE SIĘ Z NICH WYWIĄZUJE I W JAKI SPOSÓB = DOKUMENTACJA RODO

Obrazując nasze równanie przykładem, w art. 33 RODO jest napisane, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu…

Z tego zdania można wywnioskować, że administrator powinien, w razie wystąpienia pewnych okoliczności, podjąć konkretne działania, w konkretnym czasie.

Pod uwagę musimy wziąć kilka ważnych czynników:
  • W jaki sposób przekazać pracownikom wiedzę o tym co jest, a co nie jest naruszeniem ochrony danych?
  • Do kogo i w jaki sposób zgłosimy naruszenie?
  • W jaki sposób z wiedzą o naruszeniu proceduje osoba, która otrzymała zgłoszenie (np. IOD)? Czy informuje Zarząd/Dyrektora?
  • W jaki sposób postępujemy dalej – czy informujemy osoby, których dane zostały naruszone, a jeśli tak to w jaki konkretnie sposób?
  • Jakie działania podejmiemy, aby zapobiec kolejnym incydentom?

Odpowiedzi na powyższe pytania złożą się na procedurę postępowania z naruszeniami ochrony danych osobowych.

No i mamy jeden z dokumentów RODO.

Dokumentacja RODO, czyli co konkretnie muszę przygotować i czy polityka ochrony danych jest obowiązkowa?

Zacznę od odpowiedzi na drugie pytanie. Nie – polityka ochrony danych, nie jest obowiązkowym dokumentem wymaganym przez RODO.

Z drugiej strony nawiązując do naszego równania, na dokumentację RODO składają się np. procedury oceny skutków czy reagowania na incydenty. I to właśnie Polityka Ochrony Danych jest najlepszym miejscem do zebrania wszystkich procedur w jednym miejscu.

Możemy zastosować model alternatywny – nie wdrażamy Polityki Ochrony Danych, i każdą procedurę wymaganą przez RODO dodajemy w innym miejscu naszej wewnątrzorganizacyjnej dokumentacji.

Na przykład procedurę szkoleń oraz nadawania upoważnień możemy załączyć do istniejących już polityk, czy regulaminów HR.

Jednak w tym przypadku każda procedura znajdzie się w innym miejscu, co skomplikuje funkcjonowanie systemu ochrony danych w naszej organizacji.

Dlatego zdecydowanie rekomendujemy wdrożenie Polityki Ochrony Danych w formie dokumentu skupiającego wszystkie wewnętrzne procedury związane z ochroną danych osobowych.

Dokumenty RODO:

Wymienione w Rozporządzeniu i wyczytane z niego „między wierszami”:

Nazwa dokumentu Status dokumentu Funkcja dokumentu  RODO
Polityka ochrony danych osobowych Zalecany Zbiór wszystkich procedur RODO Art. 24 ust. 2
Zasady retencji danych Wymagany Mówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osobowe Art. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by default Wymagany Mówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach IT Art. 25
Struktura organizacyjna w zakresie ochrony danych osobowych Wymagany Kto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.). Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnień Wymagany W jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych Art. 29
Ewidencja upoważnień Zalecany Kontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia Art. 29
Procedura szkoleń Mocno zalecany W jaki sposób szkolimy personel uczestniczący w przetwarzaniu danych Art. 39
Postępowanie z incydentami ochrony danych osobowych Wymagany Kto i w jaki sposób reaguje na incydenty ochrony danych osobowych Art. 33
Ocena skutków dla ochrony danych osobowych (DPIA) Wymagany Kiedy i w jaki sposób oceniamy skutki dla ochrony danych Art. 35
Realizacja praw osób, których dane dotyczą Wymagany Kto i w jaki sposób realizuje prawa osób, których dane dotyczą Art. 7 ust. 3,

Art. 12 – 22

Procedura audytu wewnętrznego Mocno zalecany Kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji. Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzających Mocno zalecany W jaki sposób i kiedy kontrolujemy procesorów Art. 28 ust. 3 lit. h)
Opis środków bezpieczeństwa Mocno zalecany Jakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznej Art. 24 ust. 1, Art. 32 ust. 1
Rejestr czynności przetwarzania Wymagany

*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5

Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułce Art. 30 ust. 1
Rejestr kategorii czynności przetwarzania Wymagany

*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5

Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzone Art. 30 ust. 2
Procedury IT Mocno zalecane Sposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowych Art. 24 ust. 1, Art. 32 ust. 1
Materiały informacyjne dla pracowników Zalecany Podnoszenie świadomości pracowników w zakresie ochrony danych osobowych Art. 39


Co w tych dokumentach jest i dlaczego jest ich tak dużo?

Dokumentów jest całkiem sporo, ponieważ administrator (zwłaszcza duży) ma niestety dużo obowiązków na głowie.

W dokumentach szczegółowo opisuje się wszystkie zadania  Administratora, sposób ich realizacji, postępowanie osób odpowiedzialnych za ochronę danych osobowych w firmie, w tym osób upoważnionych.

Powinno się określać gotowe rozwiązania na różne stany faktyczne, by każda osoba, która zmierzy się z taką sytuacją, była w stanie, na podstawie dokumentacji poradzić sobie sama z rozwiązaniem problemu czy zagadnienia związanego z ochroną danych.

Dokumentację mogą stanowić też wzory pewnych zapisów, które dopiero na gruncie konkretnych okoliczności, trzeba będzie dostosować do określonej sytuacji (np. obowiązki informacyjne).

A także wszystkie materiały, które mają pomóc zrozumieć, uświadomić, utrwalić wiedzę i dobre zachowania w zakresie bezpieczeństwa danych.

Podsumowanie…

Dokumenty RODO mają przede wszystkim ułatwić ochronę danych osobowych w Twojej organizacji. Na pewno poziom stosowanych zabezpieczeń będzie różny w zależności od wielkości i rodzaju prowadzonej działalności.

Nie chodzi w tym wypadku o ilość stron w  dokumentacji, ale o to by zawierała wartościowe treści, z których dana organizacja będzie mogła skorzystać w konkretnym przypadku.

W następnych artykułach cyklu RODO Dokumentacja, opiszemy jak powinien wyglądać każdy z Dokumentów RODO wskazany w załączonej tabeli.

Wierzę, że dzięki naszej pomocy będziesz w stanie stworzyć dokumenty samodzielnie.

Jeżeli czujesz, że mimo to zadanie Cię przerasta, skontaktuj się z nami – z przyjemnością pomożemy! 😊

Nie masz czasu na samodzielne opracowywanie Dokumentacji RODO? Skorzystaj z naszego sprawdzonego wzoru Polityki Ochrony Danych zawierającego wymagane przez RODO procedury.

Sprawdź

Powiązane artykuły

Wzory i szablony dokumentacji RODO: Polityka ochrony danych
Wyznaczenie Inspektora Ochrony Danych (IOD) – najczęściej zadawane pytania
Pozostał rok na dostosowanie się do systemu RODO/GDPR

Zostaw odpowiedź