Blog

12 07/2018
Kategoria:

Dokumentacja RODO – jakich dokumentów potrzebujesz, by uniknąć płacenia kar?

Jedną z największych trudności w dopasowaniu organizacji do RODO jest brak konkretnych wytycznych w treści Rozporządzenia. RODO nie mówi np. jakie dokumenty należy wdrożyć w organizacji, by uniknąć płacenia kar – wspomina o nich jedynie pośrednio. W związku z tym, mniej doświadczeni przedsiębiorcy, mogą mieć problem z „wyłuskaniem” wszystkich wskazówek, które należy uwzględnić w trakcie prac nad RODO w firmie. Sprawdźmy więc, czy dokumentacja RODO rzeczywiście jest potrzebna, a jeśli tak, z jakich dokumentów powinna się składać.

Dokumentacja RODO – zamów “gotowca”!

Gdzie znajdziemy wytyczne odnośnie dokumentacji RODO

Od 25 maja 2018 r., szukając wytycznych dotyczących dokumentacji wymaganej przez Rozporządzenie powinniśmy sięgnąć do:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO);
  2. Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000);
  3. Innych przepisów dziedzinowych krajowych, jak i Unii Europejskiej, jak np.:
    1. Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
    2. Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
    3. Rozporządzenia Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
    4. Rozporządzenia Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,
    5. Innych.

Dokumenty w RODO – nie wprost, lecz pośrednio

W treści Rozporządzenia oraz powyższych przepisów, nie znajdziemy wprost przekazanych informacji dotyczących dokumentów, jakie musimy posiadać w organizacji. Jednak uważni czytelnicy zauważą, że w Rozporządzeniu jest mowa np. o Polityce Ochrony Danych czy Rejestrze Czynności Przetwarzania. Zatem instrukcje odnośnie dokumentów są, jednak nie przedstawione wprost, tak jak to było w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych.

 

dokumentacja-rodo

Po co dokumentacja RODO?

To proste. Według RODO, w odróżnieniu od rozporządzenia obowiązującego w naszych kraju do 25 maja 2018 r., Administrator Danych Osobowych musi nie tylko przestrzegać wymogów RODO, ale również to wykazać. Jak może to zrobić? Właśnie za pomocą prowadzonej dokumentacji. Bowiem dokumenty RODO to jeden ze sposobów na wywiązanie się z zasady rozliczalności.

Jakie dokumenty powinna zawierać dokumentacja RODO?

Jak wspomnieliśmy wyżej, w treści Rozporządzenia pojawiają się wzmianki o wymaganych dokumentach, jednak nie są podane wprost. Administrator Danych Osobowych może dowolnie opisywać zastosowane procedury i zasady. Musi jednak pamiętać o aspektach, które RODO jasno definiuje. Będą to:

  1. Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, które zostały opisane w art. 30 RODO.
  2. Zgłoszenie naruszenia ochrony danych do UODO, opisane w art. 33 ust. 3 RODO.
  3. Rejestr naruszeń ochrony danych, opisany w art. 33 ust. 5 RODO
  4. Zawartości oceny skutków dla ochrony danych, o czym mowa w art. 35 ust. 7.

Istotnym jest, by ADO zwracał uwagę jedynie na wymagania dotyczące powyższych dokumentów – ich nazwa i struktura nie są ważne. Jednak nie są to wszystkie wymagania, które należy uwzględnić w dokumentacji.

Gotowe wzory dokumentów RODO – sprawdź!

Istotny Art. 24 ust. 1 RODO

W art. 24 ust. 1 RODO czytamy, że Administrator Danych Osobowych musi wykazać zgodność przetwarzania danych. Co to oznacza? W tekście „Dokumentacja przetwarzania danych osobowych zgodnie z RODO” doskonale wyjaśnia to Prezes Urzędu Ochrony Danych Osobowych.  ADO ma obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

dokumenty-rodo

Dokumentacja RODO, czyli kilka słów podsumowania

Podsumowanie zaczniemy od słów Prezesa UODO: „nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych”. Te słowa powinny wystarczyć, by zapamiętać raz na zawsze – RODO wymaga, również od małych przedsiębiorców, właściwej dokumentacji.

Jeśli już wiemy, że bez dokumentów się nie obejdzie, przede wszystkim musimy pamiętać, że w Rozporządzeniu nie znajdziemy gotowej recepty na przygotowanie właściwej dokumentacji. RODO pozostawia Administratorom Danych Osobowych wolną rękę, a przynajmniej w pewnym stopniu.

Poniżej lista, o której mówi Prezes UODO, dokumentów wymaganych przez RODO:

  • Rejestr czynności przetwarzania;
  • Rejestr kategorii czynności przetwarzania;
  • Wytyczne dotyczące klasyfikacji naruszeń;
  • Procedurę zgłaszania naruszeń ochrony danych do UODO;
  • Procedurę na wypadek wystąpienia naruszeń powodujących wysokie ryzyko naruszenia praw i wolności osób;
  • Raport z przeprowadzonej analizy ryzyka;
  • Raport z oceny skutków dla ochrony danych;
  • Procedury związane z pseudonimizacją i szyfrowaniem;
  • Plan ciągłości działania;
  • Procedury odtwarzania systemu po awarii oraz ich testowania;

Jednak powyższy zakres nie jest obligatoryjny – niezbędne dokumenty „wyłoni” analiza ryzyka, bowiem nie w każdej firmie występują identyczne ryzyka.

Zamów pakiet dokumentów dla swojej firmy!

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close