Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Dokumentacja RODO w praktyce, czyli zjedz tego słonia po kawałku

Jest to pierwsza część serii artykułów - poradników poświęconych opracowaniu dokumentacji RODO. Poniżej lista artykułów z cyklu "Dokumentacja RODO w praktyce", które do tej pory zostały opublikowane: 

Jakie dokumenty są wymagane przez RODO? Przygotowanie których dokumentów stanowi dobrą praktykę, a które są całkowicie zbędne? Krótka analiza i pomocne zestawienie dla każdej osoby wdrażającej RODO w organizacji.

Czym jest dokumentacja RODO?

Założę się, że tak jak mnie, również i Tobie, w ostatnim czasie setki razy przewinęła się reklama, która informowała o możliwości zakupu Dokumentów RODO (już nawet na allegro można kupić wdrożenie RODO!). Zawsze, z zaciekawieniem patrzę co sprzedawca dokumentów oferuje i przy okazji za jaką cenę 😉

Jeśli ktoś podobnie, jak ja obserwuje proponowane na rynku wzory gotowych dokumentów to pewnie też nasuwa mu się pytanie: dlaczego ich zakres jest tak różny? co dokładnie powinna zawierać dokumentacja RODO w praktyce?

W poprzednim stanie prawnym wymagane dokumenty były precyzyjnie wymienione. Na zasadzie prostej check – listy można było zweryfikować czy Twoja organizacja spełnia wymogi ustawowe.

Co więcej, Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. wskazywało również z jakich elementów powinna składać się Polityka Bezpieczeństwa oraz Instrukcja Zarządzania.

A jak to wygląda w RODO?

Zupełnie inaczej!

Co o dokumentacji ,,mówi” samo RODO?

Tekst RODO nie daje nam odpowiedzi w postaci prostej check - listy z wymaganymi dokumentami.

Rozporządzenie mgliście wyjaśnia, że bezpieczeństwo danych można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk ochrony danych.

Wspomina także o rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania.

I w sumie tyle, jeżeli chodzi o konkrety 😉.

Ustalając, jaki powinien być zakres odpowiednich polityk i innych niezbędnych dokumentów przeanalizowaliśmy cały tekst RODO. Wzięliśmy także pod uwagę główne zasady ochrony danych osobowych (w tym kluczową zasadę rozliczalności).

Krótko  wyjaśnię, że w zasadzie rozliczalności chodzi o to, by administrator danych był w stanie udowodnić, że wywiązuje się ze swoich obowiązków nałożonych na niego przez RODO.

Założenia naszej analizy dobrze obrazuje proste równanie:

OBOWIĄZKI ADO + DOWÓD NA TO, ŻE SIĘ Z NICH WYWIĄZUJE I W JAKI SPOSÓB = DOKUMENTACJA RODO

Obrazując nasze równanie przykładem, w art. 33 RODO jest napisane, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu…

Z tego zdania można wywnioskować, że administrator powinien, w razie wystąpienia pewnych okoliczności, podjąć konkretne działania, w konkretnym czasie.

Pod uwagę musimy wziąć kilka ważnych czynników:
  • W jaki sposób przekazać pracownikom wiedzę o tym co jest, a co nie jest naruszeniem ochrony danych?
  • Do kogo i w jaki sposób zgłosimy naruszenie?
  • W jaki sposób z wiedzą o naruszeniu proceduje osoba, która otrzymała zgłoszenie (np. IOD)? Czy informuje Zarząd/Dyrektora?
  • W jaki sposób postępujemy dalej – czy informujemy osoby, których dane zostały naruszone, a jeśli tak to w jaki konkretnie sposób?
  • Jakie działania podejmiemy, aby zapobiec kolejnym incydentom?

Odpowiedzi na powyższe pytania złożą się na procedurę postępowania z naruszeniami ochrony danych osobowych.

No i mamy jeden z dokumentów RODO.

Dokumentacja RODO – co konkretnie muszę przygotować i czy polityka ochrony danych jest obowiązkowa?

Zacznę od odpowiedzi na drugie pytanie. Nie – polityka ochrony danych, nie jest obowiązkowym dokumentem wymaganym przez RODO.

Z drugiej strony nawiązując do naszego równania, na dokumentację RODO składają się np. procedury oceny skutków czy reagowania na incydenty. I to właśnie Polityka Ochrony Danych jest najlepszym miejscem do zebrania wszystkich procedur w jednym miejscu.

Możemy zastosować model alternatywny – nie wdrażamy Polityki Ochrony Danych, i każdą procedurę wymaganą przez RODO dodajemy w innym miejscu naszej wewnątrzorganizacyjnej dokumentacji.

Na przykład procedurę szkoleń oraz nadawania upoważnień możemy załączyć do istniejących już polityk, czy regulaminów HR.

Jednak w tym przypadku każda procedura znajdzie się w innym miejscu, co skomplikuje funkcjonowanie systemu ochrony danych w naszej organizacji.

Dlatego zdecydowanie rekomendujemy wdrożenie Polityki Ochrony Danych w formie dokumentu skupiającego wszystkie wewnętrzne procedury związane z ochroną danych osobowych.

Dokumenty RODO – co należy opracować:

Wymienione w Rozporządzeniu i wyczytane z niego „między wierszami”:

Nazwa dokumentuStatus dokumentuFunkcja dokumentu RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur RODOArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńMocno zalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganyKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganyKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3,

Art. 12 – 22

Procedura audytu wewnętrznegoMocno zalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychMocno zalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaMocno zalecanyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1, Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany

*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5

Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany

*zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5

Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITMocno zalecaneSposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1, Art. 32 ust. 1
Materiały informacyjne dla pracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

 

Co w tych dokumentach jest i dlaczego jest ich tak dużo?

Dokumentów jest całkiem sporo, ponieważ administrator (zwłaszcza duży) ma niestety dużo obowiązków na głowie.

W dokumentach szczegółowo opisuje się wszystkie zadania  Administratora, sposób ich realizacji, postępowanie osób odpowiedzialnych za ochronę danych osobowych w firmie, w tym osób upoważnionych.

Powinno się określać gotowe rozwiązania na różne stany faktyczne, by każda osoba, która zmierzy się z taką sytuacją, była w stanie, na podstawie dokumentacji poradzić sobie sama z rozwiązaniem problemu czy zagadnienia związanego z ochroną danych.

Dokumentacja RODO w praktyce może zawierać też wzory pewnych zapisów, które dopiero na gruncie konkretnych okoliczności, trzeba będzie dostosować do określonej sytuacji (np. obowiązki informacyjne).

A także wszystkie materiały, które mają pomóc zrozumieć, uświadomić, utrwalić wiedzę i dobre zachowania w zakresie bezpieczeństwa danych.

Podsumowanie…

Dokumentacja RODO w praktyce ma przede wszystkim ułatwić ochronę danych osobowych w Twojej organizacji. Na pewno poziom stosowanych zabezpieczeń będzie różny w zależności od wielkości i rodzaju prowadzonej działalności.

Nie chodzi w tym wypadku o ilość stron w  dokumentacji, ale o to by zawierała wartościowe treści, z których dana organizacja będzie mogła skorzystać w konkretnym przypadku.

W następnych artykułach cyklu RODO Dokumentacja, opiszemy jak powinien wyglądać każdy z Dokumentów RODO wskazany w załączonej tabeli.

Wierzę, że dzięki naszej pomocy będziesz w stanie stworzyć dokumenty samodzielnie.

Jeżeli czujesz, że mimo to zadanie Cię przerasta, skontaktuj się z nami – z przyjemnością pomożemy! 😊

dokumentacja RODO - wzory

Nie masz czasu na samodzielne opracowywanie Dokumentacji RODO? Skorzystaj z naszego sprawdzonego wzoru Polityki Ochrony Danych zawierającego wymagane przez RODO procedury.

Sprawdź

 

Źródła:

Powiązane artykuły

Budowanie RODO świadomości w organizacji
dokumentacja RODO
Przetwarzanie danych osobowych pracowników zgodnie z RODO – wyodrębnienie procesów
Rejestr Czynności Przetwarzania RCP

2 Odpowiedzi

  1. Przemysław

    Witam. Umieściliście Państwo na stronie wzory polityki bezpieczeństwa – szablon. Co z prawami autorskimi to tego dokumentu? Czy mogę go wykorzystać w swojej firmie – legalnie?

    1. Lex Artist

      Dzień dobry 🙂 Tak, może Pan korzystać z naszych szablonów, ale wyłącznie na potrzeby własnej działalności gospodarczej. Udzielamy licencji niewyłącznej bez prawa do udzielania dalszych licencji. Pozdrawiamy

Zostaw odpowiedź