Dokumentacja RODO w praktyce, czyli zjedz tego słonia po kawałku
Jakie dokumenty są wymagane przez RODO? Przygotowanie których dokumentów stanowi dobrą praktykę, a które są całkowicie zbędne? Krótka analiza i pomocne zestawienie dla każdej osoby wdrażającej RODO w organizacji.
Czym jest dokumentacja RODO?
Założę się, że tak jak mnie, również i Tobie, w ostatnim czasie setki razy przewinęła się reklama, która informowała o możliwości zakupu Dokumentów RODO (już nawet na allegro można kupić wdrożenie RODO!). Zawsze, z zaciekawieniem patrzę co sprzedawca dokumentów oferuje i przy okazji za jaką cenę 😉
Jeśli ktoś podobnie, jak ja obserwuje proponowane na rynku wzory gotowych dokumentów to pewnie też nasuwa mu się pytanie: dlaczego ich zakres jest tak różny? co dokładnie powinna zawierać dokumentacja RODO w praktyce?
W poprzednim stanie prawnym wymagane dokumenty były precyzyjnie wymienione. Na zasadzie prostej check – listy można było zweryfikować czy Twoja organizacja spełnia wymogi ustawowe.
Co więcej, Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. wskazywało również z jakich elementów powinna składać się Polityka Bezpieczeństwa oraz Instrukcja Zarządzania.
A jak to wygląda w RODO?
Zupełnie inaczej!
Obejrzyj nasze video o dokumentacji…
… albo przesłuchaj w formie podcastu
Co o dokumentacji ,,mówi” samo RODO?
Rozporządzenie mgliście wyjaśnia, że bezpieczeństwo danych można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk ochrony danych.
Wspomina także o rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania.
I w sumie tyle, jeżeli chodzi o konkrety 😉.
Ustalając, jaki powinien być zakres odpowiednich polityk i innych niezbędnych dokumentów przeanalizowaliśmy cały tekst RODO. Wzięliśmy także pod uwagę główne zasady ochrony danych osobowych (w tym kluczową zasadę rozliczalności).
Krótko wyjaśnię, że w zasadzie rozliczalności chodzi o to, by administrator danych był w stanie udowodnić, że wywiązuje się ze swoich obowiązków nałożonych na niego przez RODO.
Założenia naszej analizy dobrze obrazuje proste równanie:
Obrazując nasze równanie przykładem, w art. 33 RODO jest napisane, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu…”
Z tego zdania można wywnioskować, że administrator powinien, w razie wystąpienia pewnych okoliczności, podjąć konkretne działania, w konkretnym czasie.
- W jaki sposób przekazać pracownikom wiedzę o tym co jest, a co nie jest naruszeniem ochrony danych?
- Do kogo i w jaki sposób zgłosimy naruszenie?
- W jaki sposób z wiedzą o naruszeniu proceduje osoba, która otrzymała zgłoszenie (np. IOD)? Czy informuje Zarząd/Dyrektora?
- W jaki sposób postępujemy dalej – czy informujemy osoby, których dane zostały naruszone, a jeśli tak to w jaki konkretnie sposób?
- Jakie działania podejmiemy, aby zapobiec kolejnym incydentom?
Odpowiedzi na powyższe pytania złożą się na procedurę postępowania z naruszeniami ochrony danych osobowych.
No i mamy jeden z dokumentów RODO.
Dokumentacja RODO – co konkretnie muszę przygotować i czy polityka ochrony danych jest obowiązkowa?
Zacznę od odpowiedzi na drugie pytanie. Nie – polityka ochrony danych, nie jest obowiązkowym dokumentem wymaganym przez RODO.
Z drugiej strony nawiązując do naszego równania, na dokumentację RODO składają się np. procedury oceny skutków czy reagowania na incydenty. I to właśnie Polityka Ochrony Danych jest najlepszym miejscem do zebrania wszystkich procedur w jednym miejscu.
Możemy zastosować model alternatywny – nie wdrażamy Polityki Ochrony Danych, i każdą procedurę wymaganą przez RODO dodajemy w innym miejscu naszej wewnątrzorganizacyjnej dokumentacji.
Na przykład procedurę szkoleń oraz nadawania upoważnień możemy załączyć do istniejących już polityk, czy regulaminów HR.
Jednak w tym przypadku każda procedura znajdzie się w innym miejscu, co skomplikuje funkcjonowanie systemu ochrony danych w naszej organizacji.
Dlatego zdecydowanie rekomendujemy wdrożenie Polityki Ochrony Danych w formie dokumentu skupiającego wszystkie wewnętrzne procedury związane z ochroną danych osobowych.
Dokumenty RODO – co należy opracować:
Wymienione w Rozporządzeniu i wyczytane z niego „między wierszami”:
| Nazwa dokumentu | Status dokumentu | Funkcja dokumentu | RODO |
|---|---|---|---|
| Polityka ochrony danych osobowych | Zalecany | Zbiór wszystkich procedur RODO | Art. 24 ust. 2 |
| Zasady retencji danych | Wymagany | Mówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osobowe | Art. 5 ust. 1 lit. e) |
| Zasady privacy by design i privacy by default | Wymagany | Mówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach IT | Art. 25 |
| Struktura organizacyjna w zakresie ochrony danych osobowych | Wymagany | Kto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.). | Art. 24 ust. 1, Art. 32 ust. 1 |
| Procedura nadawania upoważnień | Wymagany | W jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych | Art. 29 |
| Ewidencja upoważnień | Zalecany | Kontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia | Art. 29 |
| Procedura szkoleń | Mocno zalecany | W jaki sposób szkolimy personel uczestniczący w przetwarzaniu danych | Art. 39 |
| Postępowanie z incydentami ochrony danych osobowych | Wymagany | Kto i w jaki sposób reaguje na incydenty ochrony danych osobowych | Art. 33 |
| Ocena skutków dla ochrony danych osobowych (DPIA) | Wymagany | Kiedy i w jaki sposób oceniamy skutki dla ochrony danych | Art. 35 |
| Realizacja praw osób, których dane dotyczą | Wymagany | Kto i w jaki sposób realizuje prawa osób, których dane dotyczą | Art. 7 ust. 3, Art. 12 – 22 |
| Procedura audytu wewnętrznego | Mocno zalecany | Kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji. | Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b) |
| Kontrola podmiotów przetwarzających | Mocno zalecany | W jaki sposób i kiedy kontrolujemy procesorów | Art. 28 ust. 3 lit. h) |
| Opis środków bezpieczeństwa | Mocno zalecany | Jakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznej | Art. 24 ust. 1, Art. 32 ust. 1 |
| Rejestr czynności przetwarzania | Wymagany *zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5 | Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułce | Art. 30 ust. 1 |
| Rejestr kategorii czynności przetwarzania | Wymagany *zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5 | Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzone | Art. 30 ust. 2 |
| Procedury IT | Mocno zalecane | Sposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowych | Art. 24 ust. 1, Art. 32 ust. 1 |
| Materiały informacyjne dla pracowników | Zalecany | Podnoszenie świadomości pracowników w zakresie ochrony danych osobowych | Art. 39 |
Co w tych dokumentach jest i dlaczego jest ich tak dużo?
Dokumentów jest całkiem sporo, ponieważ administrator (zwłaszcza duży) ma niestety dużo obowiązków na głowie.
W dokumentach szczegółowo opisuje się wszystkie zadania Administratora, sposób ich realizacji, postępowanie osób odpowiedzialnych za ochronę danych osobowych w firmie, w tym osób upoważnionych.
Powinno się określać gotowe rozwiązania na różne stany faktyczne, by każda osoba, która zmierzy się z taką sytuacją, była w stanie, na podstawie dokumentacji poradzić sobie sama z rozwiązaniem problemu czy zagadnienia związanego z ochroną danych.
Dokumentacja RODO w praktyce może zawierać też wzory pewnych zapisów, które dopiero na gruncie konkretnych okoliczności, trzeba będzie dostosować do określonej sytuacji (np. obowiązki informacyjne).
A także wszystkie materiały, które mają pomóc zrozumieć, uświadomić, utrwalić wiedzę i dobre zachowania w zakresie bezpieczeństwa danych.
Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami
Podsumowanie…
Dokumentacja RODO w praktyce ma przede wszystkim ułatwić ochronę danych osobowych w Twojej organizacji. Na pewno poziom stosowanych zabezpieczeń będzie różny w zależności od wielkości i rodzaju prowadzonej działalności.
Nie chodzi w tym wypadku o ilość stron w dokumentacji, ale o to by zawierała wartościowe treści, z których dana organizacja będzie mogła skorzystać w konkretnym przypadku.
W następnych artykułach cyklu RODO Dokumentacja, opiszemy jak powinien wyglądać każdy z Dokumentów RODO wskazany w załączonej tabeli.
Wierzę, że dzięki naszej pomocy będziesz w stanie stworzyć dokumenty samodzielnie.
Jeżeli czujesz, że mimo to zadanie Cię przerasta, skontaktuj się z nami – z przyjemnością pomożemy! 😊
Polityka Ochrony Danych wraz z załącznikami
Skorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników.
Sprawdź
Źródła:
- 10 letnie doświadczenie pełnienia funkcji ABI/IOD lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI) i ponad 500 wdrożeń systemów ochrony danych osobowych,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych).
Powiązane artykuły
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam. Umieściliście Państwo na stronie wzory polityki bezpieczeństwa – szablon. Co z prawami autorskimi to tego dokumentu? Czy mogę go wykorzystać w swojej firmie – legalnie?
Dzień dobry 🙂 Tak, może Pan korzystać z naszych szablonów, ale wyłącznie na potrzeby własnej działalności gospodarczej. Udzielamy licencji niewyłącznej bez prawa do udzielania dalszych licencji. Pozdrawiamy