Dokumentacja wymagana przez RODO. Czy masz wszystkie obowiązkowe dokumenty?

clock 6m 27s

Choć od wprowadzenia RODO minęły ponad dwa lata, to nadal spotykamy się z pytaniem, o to które dokumenty są obowiązkowe. Trudności te wynikają z braku konkretnych wytycznych, ponieważ w rozporządzeniu dokumenty wymienione zostają jedynie pośrednio. Z czego zatem powinna składać się wymagana przez RODO dokumentacja? Odpowiedź w artykule.

Prowadzenie dokumentacji RODO to obowiązek każdej organizacji. Treść rozporządzenia o ochronie danych osobowych mówi o bezpieczeństwie danych, które można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk i procedur, rejestrowanie czynności przetwarzania oraz rejestrowanie kategorii czynności przetwarzania. Przepisy RODO nie zawierają jednak konkretnych wytycznych dotyczących sposobu prowadzenia i zawartości dokumentacji przetwarzania danych osobowych.

Zasada rozliczalności wg przepisów RODO

Chociaż RODO nie określa formalnych wymagań, to nie oznacza, że administratorzy danych nie muszą prowadzić dokumentacji. Według zasady rozliczalności administrator danych musi udowodnić, że wywiązuje się z obowiązków nałożonych na niego przez RODO. W praktyce oznacza to, że prowadzi odpowiednią dokumentację, m.in. spełniając obowiązek informacyjny, rejestrując czynności i zabezpieczając dane osobowe.

Dokumentacja zgodna z RODO gdzie znajdują się wytyczne?

Jak czytamy na stronie Urzędu Ochrony Danych Osobowych wymagania w powyższym zakresie "powinny być zgodne z wymaganiami określonymi w:

  1. Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO);
  2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000);
  3. Innych przepisach dziedzinowych krajowych, jak i Unii Europejskiej, jak np.:
  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
  • Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
  • Rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,
  • inne".

Wymagana dokumentacja RODO

Według Prezesa UODO administrator danych ma obowiązek opracować następujące dokumenty:

  1. rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania,
  2. procedurę zgłaszania naruszeń do organu nadzorczego,
  3. rejestr naruszeń ochrony danych,
  4. raporty z ocen skutków dla ochrony danych (jeśli są konieczne),
  5. wdrożone i udokumentowane odpowiednie środki techniczne i organizacyjne w firmie,
  6. polityki ochrony danych.

Przepisy RODO nie wymagają, aby dokument zawierający wymienione elementy miał określoną nazwę czy strukturę. Ważne jest, aby wykazać, że posiada się wspomniane rejestry i raporty oraz że ich zawartość jest zgodna z wskazanymi wymaganiami.

Lista dokumentów wymienionych w rozporządzeniu o ochronie danych osobowych RODO

Poniżej znajduje się lista dokumentów, o których mowa w rozporządzeniu RODO (zarówno obowiązkowych, jak i zalecanych; dokumenty wymagane oznaczono „*” ):

NAZWA DOKUMENTUFUNKCJA DOKUMENTURODO
Polityka ochrony danych osobowych Zbiór wszystkich procedur RODO Art. 24 ust. 2
Zasady retencji danych* Zasady usuwania niepotrzebnych już danych osobowych Art. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by default* Określa, w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności Art. 25
Struktura organizacyjna w zakresie ochrony danych osobowych* Opisuje zakres odpowiedzialności w zakresie danych osobowych Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnień* Określa, w jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych Art. 29
Ewidencja upoważnień Służy do kontroli liczby osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia Art. 29
Procedura szkoleń Określa, w jaki sposób szkolony jest personel uczestniczący w przetwarzaniu danych Art. 39
Postępowanie z incydentami ochrony danych osobowych* Określa kto i w jaki sposób reaguje na incydenty ochrony danych osobowych Art. 33
Ocena skutków dla ochrony danych osobowych (DPIA)* Określa kiedy i w jaki sposób oceniane są skutki dla ochrony danych Art. 35
Realizacja praw osób, których dane dotyczą* Określa kto i w jaki sposób realizuje prawa osób, których dane dotyczą Art. 7 ust. 3, Art. 12 – 22
Procedura audytu wewnętrznego Określa kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzających Określa w jaki sposób i kiedy kontrolujemy procesorów Art. 28 ust. 3 lit. h)
Opis środków bezpieczeństwa Określa jakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznej Art. 24 ust. 1, Art. 32 ust. 1
Rejestr czynności przetwarzania* Zawiera opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji (zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5) Art. 30 ust. 1
Rejestr kategorii czynności przetwarzania* Zawiera rejestr wszystkich informacji w zakresie danych, które zostały organizacji powierzone (zwolnienie z prowadzenia, gdy zaistnieją okoliczności z art. 30 ust. 5) Art. 30 ust. 2
Procedury IT Określa sposób zarządzania infrastrukturą IT, w której dochodzi do przetwarzania danych osobowych Art. 24 ust. 1, Art. 32 ust. 1
Materiały informacyjne dla pracowników Podnosi świadomości pracowników w zakresie ochrony danych osobowych Art. 39
Plan ciągłości działania Zawiera plan postępowania na wypadek awarii lub innego czynnika zewnętrznego powodującego brak dostępności Art. 32 ust. 1 lit. b)
Procedury odtwarzania systemu po awarii oraz ich testowania* Zawiera instrukcje postępowania po awarii systemu lub braku dostępności do danych osobowych Art. 32 ust. 1 lit. c) i d)
Procedura na wypadek wystąpienia naruszeń* Opisuje postępowanie na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć Art. 34

 

Ponieważ nie w każdym przedsiębiorstwie występują identyczne ryzyka, niezbędne dokumenty można ograniczyć (zgodnie z podejściem opartym na analizie ryzyka).

Pełna treść rozporządzenia RODO

Dokumentacja RODO dostosowana do konkretnej organizacji

Ilość powyższych dokumentów jest dość spora – jednak nie wszystkie z nich są dokumentami wymaganymi. Dokumentacja RODO powinna zostać dostosowana do szczególnych uwarunkowań organizacji. Nie ma jednej listy dokumentów, która byłaby konieczna dla wszystkich firm.

Analiza ryzyka może wykazać, że zakres wymaganych dokumentów nie będzie aż tak szeroki. Z kolei, w zależności od wielkości przedsiębiorstwa czy branży, może okazać się, że nawet te obligatoryjne dokumenty będą obowiązkowe.

Dokumentacja wymagana przez RODO – podsumowanie

RODO pozostawia dość sporo swobody w zakresie stosowanej dokumentacji. Mimo to nie należy zapominać, że prowadzenie dokumentacji jest obowiązkiem każdej firmy, a jej brak może skutkować odpowiedzialnością karno-administracyjną. Warto więc poświęcić czas i odpowiednie środki finansowe na wdrożenie wymaganej dokumentacji. Przy okazji pamiętając, że poniesione koszty to wydatek jednorazowy, a opracowana dokumentacja w późniejszym czasie wymaga jedynie aktualizacji. Takie podejście pozwoli nie tylko uniknąć kar, ale przede wszystkim ułatwi ochronę danych osobowych w organizacji.

Jeśli potrzebujesz wsparcia w przygotowaniu powyższych dokumentów, określeniu, które z zalecanych dokumentów powinieneś opracować ze względu na specyfikę prowadzonego biznesu, skontaktuj się z nami: kontakt@resilia.pl. Przygotujemy pełną dokumentację związaną z ochroną danych osobowych i wymaganiami RODO dla Twojej firmy.

Więcej o świadczonych przez nas usługach związanych z ochroną danych osobowych (w tym o audytach i outsorcingu IOD) przeczytasz tutaj.

 

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)
Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)

    Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.

    Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej  Polityce przetwarzania danych osobowych.