25 kwietnia 2019
  • Home
  • Firma
  • Dokumentacja RODO – co powinna zawierać

Dokumentacja RODO – co powinna zawierać

By on 20 marca 2019 0 15 Views

Dokumentacja RODO to jeden z podstawowych obowiązków wynikających (choć nie wprost – z pewnymi wyjątkami) z przepisów związanych z ochroną danych osobowych. Poniżej przedstawimy pokrótce jakie dokumenty powinna zawierać.

Dokumentacja RODO w aktach prawnych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. ogólne rozporządzenie o ochronie danych – RODO, wskazuje obowiązki podmiotów przetwarzających dane osobowe, przy czym niektóre z nich mogą wiązać się z koniecznością stworzenia dokumentacji ochrony danych osobowych. Warto dodać, że RODO to nie jedyny przepis prawny na podstawie którego potencjalnie należałoby opracować dokumentację ochrony danych osobowych. Przy jej tworzeniu poszczególne podmioty powinny wziąć także pod uwagę sektorowe przepisy, które odnoszą się bezpośrednio do prowadzonej działalności.

W związku z przepisami, do głównych obowiązków administratora danych należą:

  • przygotowanie polityk ochrony danych (choć RODO nie precyzuje, co powinny zawierać);
  • prowadzenie rejestru czynności przetwarzania (są sytuacje, gdy nie jest to obligatoryjne);
  • prowadzenie rejestru kategorii przetwarzania (są przypadki, gdy nie jest to obligatoryjne);
  • prowadzenie rejestru naruszeń ochrony danych;
  • tworzenie raportów dokumentujących rezultaty oceny skutków oceny ochrony danych, o ile DPIA jest konieczne.

Wskazane wyżej dokumenty nie stanowią zamkniętego zbioru – cała dokumentacja powinna być szersza i zawierać wszystkie informacje na temat kompleksowego procesu ochrony danych realizowanego przez dany podmiot, tak by przy jej pomocy można było – w jakiejś mierze – uczynić zadość zasadzie rozliczalności.

Pomoc specjalistów w zakresie tworzenia dokumentacji RODO

Skorzystanie z usług firm specjalizujących się we wdrażaniu zasad przewidzianych przez RODO to gwarancja poprawnie realizowanych postanowień przepisów w zakresie ochrony danych osobowych. Doświadczenie i wiedza fachowców pozwala na stworzenie dokumentacji, która będzie nie tylko odpowiadała zapisom aktów prawnych, ale jednocześnie będzie dostosowana do indywidualnej specyfiki działalności klienta. Dzięki temu, stanie się nieodłącznym elementem działania przedsiębiorcy/organizacji, którego efektem będzie nie tylko podniesienie jakości świadczonych usług, ale także zaufania klientów, kontrahentów i współpracowników.

Wdrożenie w system funkcjonowania podmiotu niedopasowanych dokumentów RODO – opartych na wzorach dostępnych w internecie – skutkuje tym, że system ochrony danych nadal nie będzie funkcjonował poprawnie, będzie przez pracowników uważany za element utrudniający i spowalniający procesy zachodzące w zakładzie. W rezultacie będzie tylko sztucznym, martwym tworem, który nie będzie zapewniał odpowiedniej ochrony danych osobowych. Opracowanie dokumentacji nieadekwatnej do realizowanych w organizacji/zakładzie procesów nie uchroni podmiotu przed konsekwencjami administracyjnymi, a może nawet i finansowymi wskazanymi w przepisach za nieprzestrzeganie ochrony danych osobowych.

Czego możesz oczekiwać od firmy oferującej usługi związane z RODO

Korzystając z usług specjalistów przygotujesz kompletną dokumentację odnoszącą się do wszystkich działań realizowanych w firmie/organizacji w zakresie ochrony danych wymaganych przez prawo.

Doświadczeni i kompetentni fachowcy pomogą stworzyć:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • wytyczne dotyczące klasyfikacji naruszeń i procedura zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO;
  • procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raport z przeprowadzonej, ogólnej analizy ryzyka;
  • raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  • procedurę związaną z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  • plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  • procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

Dodatkowo rozważyć można jeszcze opracowanie następujących dokumentów:

  • polityka ochrony danych;
  • zasady privacy by design i privacy by default;
  • procedura realizacji praw osób, których dane dotyczą;
  • zasady retencji danych;
  • procedura nadawania upoważnień – ewidencja upoważnień;
  • procedura szkoleń;
  • procedura audytu wewnętrznego;
  • procedura weryfikacji podmiotów współpracujących.

Co więcej, specjaliści RODO zajmą się odpowiednim przygotowaniem pracowników poprzez system szkoleń, dzięki czemu podniosą kompetencje wskazanych osób w zakresie przetwarzania i gromadzenia danych osobowych. W efekcie system ochrony danych będzie działał skuteczniej i jednocześnie podniesiona zostanie świadomość istoty problemu wśród wszystkich pracowników. Wpłynie to na jakość oferowanych usług.

Źródło: https://www.isecure.pl

  Firma