Dokumentacja wymagana przez RODO. Czy masz wszystkie obowiązkowe dokumenty?
Choć od wprowadzenia RODO minęły ponad dwa lata, to nadal spotykamy się z pytaniem, o to które dokumenty są obowiązkowe. Trudności te wynikają z braku konkretnych wytycznych, ponieważ w rozporządzeniu dokumenty wymienione zostają jedynie pośrednio. Z czego zatem powinna składać się wymagana przez RODO dokumentacja? Odpowiedź w artykule.
Prowadzenie dokumentacji RODO to obowiązek każdej organizacji. Treść rozporządzenia o ochronie danych osobowych mówi o bezpieczeństwie danych, które można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk i procedur, rejestrowanie czynności przetwarzania oraz rejestrowanie kategorii czynności przetwarzania. Przepisy RODO nie zawierają jednak konkretnych wytycznych dotyczących sposobu prowadzenia i zawartości dokumentacji przetwarzania danych osobowych.
Zasada rozliczalności wg przepisów RODO
Chociaż RODO nie określa formalnych wymagań, to nie oznacza, że administratorzy danych nie muszą prowadzić dokumentacji. Według zasady rozliczalności administrator danych musi udowodnić, że wywiązuje się z obowiązków nałożonych na niego przez RODO. W praktyce oznacza to, że prowadzi odpowiednią dokumentację, m.in. spełniając obowiązek informacyjny, rejestrując czynności i zabezpieczając dane osobowe.
Dokumentacja zgodna z RODO – gdzie znajdują się wytyczne?
Jak czytamy na stronie Urzędu Ochrony Danych Osobowych wymagania w powyższym zakresie „powinny być zgodne z wymaganiami określonymi w:
- Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO);
- Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000);
- Innych przepisach dziedzinowych krajowych, jak i Unii Europejskiej, jak np.:
- Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
- Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
- Rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,
- inne”.
Wymagana dokumentacja RODO
Według Prezesa UODO administrator danych ma obowiązek opracować następujące dokumenty:
- rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania,
- procedurę zgłaszania naruszeń do organu nadzorczego,
- rejestr naruszeń ochrony danych,
- raporty z ocen skutków dla ochrony danych (jeśli są konieczne),
- wdrożone i udokumentowane odpowiednie środki techniczne i organizacyjne w firmie,
- polityki ochrony danych.
Przepisy RODO nie wymagają, aby dokument zawierający wymienione elementy miał określoną nazwę czy strukturę. Ważne jest, aby wykazać, że posiada się wspomniane rejestry i raporty oraz że ich zawartość jest zgodna z wskazanymi wymaganiami.
Lista dokumentów wymienionych w rozporządzeniu o ochronie danych osobowych RODO
Poniżej znajduje się lista dokumentów, o których mowa w rozporządzeniu RODO (zarówno obowiązkowych, jak i zalecanych; dokumenty wymagane oznaczono „*” ):
NAZWA DOKUMENTU | FUNKCJA DOKUMENTU | RODO |
---|---|---|
Polityka ochrony danych osobowych | Zbiór wszystkich procedur RODO | Art. 24 ust. 2 |
Zasady retencji danych* | Zasady usuwania niepotrzebnych już danych osobowych | Art. 5 ust. 1 lit. e) |
Zasady privacy by design i privacy by default* | Określa, w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności | Art. 25 |
Struktura organizacyjna w zakresie ochrony danych osobowych* | Opisuje zakres odpowiedzialności w zakresie danych osobowych | Art. 24 ust. 1, Art. 32 ust. 1 |
Procedura nadawania upoważnień* | Określa, w jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych | Art. 29 |
Ewidencja upoważnień | Służy do kontroli liczby osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia | Art. 29 |
Procedura szkoleń | Określa, w jaki sposób szkolony jest personel uczestniczący w przetwarzaniu danych | Art. 39 |
Postępowanie z incydentami ochrony danych osobowych* | Określa kto i w jaki sposób reaguje na incydenty ochrony danych osobowych | Art. 33 |
Ocena skutków dla ochrony danych osobowych (DPIA)* | Określa kiedy i w jaki sposób oceniane są skutki dla ochrony danych | Art. 35 |
Realizacja praw osób, których dane dotyczą* | Określa kto i w jaki sposób realizuje prawa osób, których dane dotyczą | Art. 7 ust. 3, Art. 12 – 22 |
Procedura audytu wewnętrznego | Określa kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji | Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b) |
Kontrola podmiotów przetwarzających | Określa w jaki sposób i kiedy kontrolujemy procesorów | Art. 28 ust. 3 lit. h) |
Opis środków bezpieczeństwa | Określa jakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznej | Art. 24 ust. 1, Art. 32 ust. 1 |
Rejestr czynności przetwarzania* | Zawiera opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji (zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5) | Art. 30 ust. 1 |
Rejestr kategorii czynności przetwarzania* | Zawiera rejestr wszystkich informacji w zakresie danych, które zostały organizacji powierzone (zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5) | Art. 30 ust. 2 |
Procedury IT | Określa sposób zarządzania infrastrukturą IT, w której dochodzi do przetwarzania danych osobowych | Art. 24 ust. 1, Art. 32 ust. 1 |
Materiały informacyjne dla pracowników | Podnosi świadomości pracowników w zakresie ochrony danych osobowych | Art. 39 |
Plan ciągłości działania | Zawiera plan postępowania na wypadek awarii lub innego czynnika zewnętrznego powodującego brak dostępności | Art. 32 ust. 1 lit. b) |
Procedury odtwarzania systemu po awarii oraz ich testowania* | Zawiera instrukcje postępowania po awarii systemu lub braku dostępności do danych osobowych | Art. 32 ust. 1 lit. c) i d) |
Procedura na wypadek wystąpienia naruszeń* | Opisuje postępowanie na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć | Art. 34 |
Ponieważ nie w każdym przedsiębiorstwie występują identyczne ryzyka, niezbędne dokumenty można ograniczyć (zgodnie z podejściem opartym na analizie ryzyka).
Pełna treść rozporządzenia RODO
Dokumentacja RODO dostosowana do konkretnej organizacji
Ilość powyższych dokumentów jest dość spora – jednak nie wszystkie z nich są dokumentami wymaganymi. Dokumentacja RODO powinna zostać dostosowana do szczególnych uwarunkowań organizacji. Nie ma jednej listy dokumentów, która byłaby konieczna dla wszystkich firm.
Analiza ryzyka może wykazać, że zakres wymaganych dokumentów nie będzie aż tak szeroki. Z kolei, w zależności od wielkości przedsiębiorstwa czy branży, może okazać się, że nawet te obligatoryjne dokumenty będą obowiązkowe.
Dokumentacja wymagana przez RODO – podsumowanie
RODO pozostawia dość sporo swobody w zakresie stosowanej dokumentacji. Mimo to nie należy zapominać, że prowadzenie dokumentacji jest obowiązkiem każdej firmy, a jej brak może skutkować odpowiedzialnością karno-administracyjną. Warto więc poświęcić czas i odpowiednie środki finansowe na wdrożenie wymaganej dokumentacji. Przy okazji pamiętając, że poniesione koszty to wydatek jednorazowy, a opracowana dokumentacja w późniejszym czasie wymaga jedynie aktualizacji. Takie podejście pozwoli nie tylko uniknąć kar, ale przede wszystkim ułatwi ochronę danych osobowych w organizacji.
Jeśli potrzebujesz wsparcia w przygotowaniu powyższych dokumentów, określeniu, które z zalecanych dokumentów powinieneś opracować ze względu na specyfikę prowadzonego biznesu, skontaktuj się z nami: [email protected]. Przygotujemy pełną dokumentację związaną z ochroną danych osobowych i wymaganiami RODO dla Twojej firmy.
Więcej o świadczonych przez nas usługach związanych z ochroną danych osobowych (w tym o audytach i outsorcingu IOD) przeczytasz tutaj.