Jakie dokumenty są wymagane przez RODO? Przygotowanie których dokumentów stanowi dobrą praktykę, a które są całkowicie zbędne? Krótka analiza i pomocne zestawienie dla każdej osoby wdrażającej RODO w organizacji.
Czym jest dokumentacja RODO?
Założę się, że tak jak mnie, również i Tobie, w ostatnim czasie setki razy przewinęła się reklama, która informowała o możliwości zakupu Dokumentów RODO (już nawet na allegro można kupić wdrożenie RODO!). Zawsze, z zaciekawieniem patrzę co sprzedawca dokumentów oferuje i przy okazji za jaką cenę 😉
Jeśli ktoś podobnie, jak ja obserwuje proponowane na rynku wzory gotowych dokumentów to pewnie też nasuwa mu się pytanie: dlaczego ich zakres jest tak różny? co dokładnie powinna zawierać dokumentacja RODO w praktyce?
W poprzednim stanie prawnym wymagane dokumenty były precyzyjnie wymienione. Na zasadzie prostej check – listy można było zweryfikować czy Twoja organizacja spełnia wymogi ustawowe.
Co więcej, Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. wskazywało również z jakich elementów powinna składać się Polityka Bezpieczeństwa oraz Instrukcja Zarządzania.
A jak to wygląda w RODO?
Zupełnie inaczej!
Obejrzyj nasze video o dokumentacji…
… albo przesłuchaj w formie podcastu
Co o dokumentacji ,,mówi” samo RODO?
Rozporządzenie mgliście wyjaśnia, że bezpieczeństwo danych można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk ochrony danych.
Wspomina także o rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania.
I w sumie tyle, jeżeli chodzi o konkrety 😉.
Ustalając, jaki powinien być zakres odpowiednich polityk i innych niezbędnych dokumentów przeanalizowaliśmy cały tekst RODO. Wzięliśmy także pod uwagę główne zasady ochrony danych osobowych (w tym kluczową zasadę rozliczalności).
Krótko wyjaśnię, że w zasadzie rozliczalności chodzi o to, by administrator danych był w stanie udowodnić, że wywiązuje się ze swoich obowiązków nałożonych na niego przez RODO.
Założenia naszej analizy dobrze obrazuje proste równanie:
Obrazując nasze równanie przykładem, w art. 33 RODO jest napisane, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu…”
Z tego zdania można wywnioskować, że administrator powinien, w razie wystąpienia pewnych okoliczności, podjąć konkretne działania, w konkretnym czasie.
- W jaki sposób przekazać pracownikom wiedzę o tym co jest, a co nie jest naruszeniem ochrony danych?
- Do kogo i w jaki sposób zgłosimy naruszenie?
- W jaki sposób z wiedzą o naruszeniu proceduje osoba, która otrzymała zgłoszenie (np. IOD)? Czy informuje Zarząd/Dyrektora?
- W jaki sposób postępujemy dalej – czy informujemy osoby, których dane zostały naruszone, a jeśli tak to w jaki konkretnie sposób?
- Jakie działania podejmiemy, aby zapobiec kolejnym incydentom?
Odpowiedzi na powyższe pytania złożą się na procedurę postępowania z naruszeniami ochrony danych osobowych.
No i mamy jeden z dokumentów RODO.
Dokumentacja RODO – co konkretnie muszę przygotować i czy polityka ochrony danych jest obowiązkowa?
Zacznę od odpowiedzi na drugie pytanie. Nie – polityka ochrony danych, nie jest obowiązkowym dokumentem wymaganym przez RODO.
Z drugiej strony nawiązując do naszego równania, na dokumentację RODO składają się np. procedury oceny skutków czy reagowania na incydenty. I to właśnie Polityka Ochrony Danych jest najlepszym miejscem do zebrania wszystkich procedur w jednym miejscu.
Możemy zastosować model alternatywny – nie wdrażamy Polityki Ochrony Danych, i każdą procedurę wymaganą przez RODO dodajemy w innym miejscu naszej wewnątrzorganizacyjnej dokumentacji.
Na przykład procedurę szkoleń oraz nadawania upoważnień możemy załączyć do istniejących już polityk, czy regulaminów HR.
Jednak w tym przypadku każda procedura znajdzie się w innym miejscu, co skomplikuje funkcjonowanie systemu ochrony danych w naszej organizacji.
Dlatego zdecydowanie rekomendujemy wdrożenie Polityki Ochrony Danych w formie dokumentu skupiającego wszystkie wewnętrzne procedury związane z ochroną danych osobowych.
Dokumenty RODO – co należy opracować:
Wymienione w Rozporządzeniu i wyczytane z niego „między wierszami”:
| Nazwa dokumentu | Status dokumentu | Funkcja dokumentu | RODO |
|---|---|---|---|
| Polityka ochrony danych osobowych | Zalecany | Zbiór wszystkich procedur RODO | Art. 24 ust. 2 |
| Zasady retencji danych | Wymagany | Mówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osobowe | Art. 5 ust. 1 lit. e) |
| Zasady privacy by design i privacy by default | Wymagany | Mówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach IT | Art. 25 |
| Struktura organizacyjna w zakresie ochrony danych osobowych | Wymagany | Kto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.). | Art. 24 ust. 1, Art. 32 ust. 1 |
| Procedura nadawania upoważnień | Wymagany | W jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych | Art. 29 |
| Ewidencja upoważnień | Zalecany | Kontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia | Art. 29 |
| Procedura szkoleń | Mocno zalecany | W jaki sposób szkolimy personel uczestniczący w przetwarzaniu danych | Art. 39 |
| Postępowanie z incydentami ochrony danych osobowych | Wymagany | Kto i w jaki sposób reaguje na incydenty ochrony danych osobowych | Art. 33 |
| Ocena skutków dla ochrony danych osobowych (DPIA) | Wymagany | Kiedy i w jaki sposób oceniamy skutki dla ochrony danych | Art. 35 |
| Realizacja praw osób, których dane dotyczą | Wymagany | Kto i w jaki sposób realizuje prawa osób, których dane dotyczą | Art. 7 ust. 3,
Art. 12 – 22 |
| Procedura audytu wewnętrznego | Mocno zalecany | Kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji. | Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b) |
| Kontrola podmiotów przetwarzających | Mocno zalecany | W jaki sposób i kiedy kontrolujemy procesorów | Art. 28 ust. 3 lit. h) |
| Opis środków bezpieczeństwa | Mocno zalecany | Jakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznej | Art. 24 ust. 1, Art. 32 ust. 1 |
| Rejestr czynności przetwarzania | Wymagany
*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5 |
Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułce | Art. 30 ust. 1 |
| Rejestr kategorii czynności przetwarzania | Wymagany
*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5 |
Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzone | Art. 30 ust. 2 |
| Procedury IT | Mocno zalecane | Sposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowych | Art. 24 ust. 1, Art. 32 ust. 1 |
| Materiały informacyjne dla pracowników | Zalecany | Podnoszenie świadomości pracowników w zakresie ochrony danych osobowych | Art. 39 |
Co w tych dokumentach jest i dlaczego jest ich tak dużo?
Dokumentów jest całkiem sporo, ponieważ administrator (zwłaszcza duży) ma niestety dużo obowiązków na głowie.
W dokumentach szczegółowo opisuje się wszystkie zadania Administratora, sposób ich realizacji, postępowanie osób odpowiedzialnych za ochronę danych osobowych w firmie, w tym osób upoważnionych.
Powinno się określać gotowe rozwiązania na różne stany faktyczne, by każda osoba, która zmierzy się z taką sytuacją, była w stanie, na podstawie dokumentacji poradzić sobie sama z rozwiązaniem problemu czy zagadnienia związanego z ochroną danych.
Dokumentacja RODO w praktyce może zawierać też wzory pewnych zapisów, które dopiero na gruncie konkretnych okoliczności, trzeba będzie dostosować do określonej sytuacji (np. obowiązki informacyjne).
A także wszystkie materiały, które mają pomóc zrozumieć, uświadomić, utrwalić wiedzę i dobre zachowania w zakresie bezpieczeństwa danych.
Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami
Podsumowanie…
Dokumentacja RODO w praktyce ma przede wszystkim ułatwić ochronę danych osobowych w Twojej organizacji. Na pewno poziom stosowanych zabezpieczeń będzie różny w zależności od wielkości i rodzaju prowadzonej działalności.
Nie chodzi w tym wypadku o ilość stron w dokumentacji, ale o to by zawierała wartościowe treści, z których dana organizacja będzie mogła skorzystać w konkretnym przypadku.
W następnych artykułach cyklu RODO Dokumentacja, opiszemy jak powinien wyglądać każdy z Dokumentów RODO wskazany w załączonej tabeli.
Wierzę, że dzięki naszej pomocy będziesz w stanie stworzyć dokumenty samodzielnie.
Jeżeli czujesz, że mimo to zadanie Cię przerasta, skontaktuj się z nami – z przyjemnością pomożemy! 😊
Polityka Ochrony Danych wraz z załącznikami
Skorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników. Sprawdź
Źródła:
- 10 letnie doświadczenie pełnienia funkcji ABI/IOD lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI) i ponad 500 wdrożeń systemów ochrony danych osobowych,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych).
Witam. Umieściliście Państwo na stronie wzory polityki bezpieczeństwa – szablon. Co z prawami autorskimi to tego dokumentu? Czy mogę go wykorzystać w swojej firmie – legalnie?
Dzień dobry 🙂 Tak, może Pan korzystać z naszych szablonów, ale wyłącznie na potrzeby własnej działalności gospodarczej. Udzielamy licencji niewyłącznej bez prawa do udzielania dalszych licencji. Pozdrawiamy