RODO – jakie dokumenty sporządzić?

Wiele podmiotów wdrażając RODO nie wie jakie dokumenty sporządzić. Dokumentacja RODO zawiera od kilkunastu do kilkudziesięciu dokumentów. Poniżej omawiam najistotniejsze z nich.

Rejestr czynności przetwarzania

Dokumentem RODO, który powinien sporządzić każdy przedsiębiorca, jest rejestr czynności przetwarzania. Aby, go sporządzić należy ustalić, co się dzieje z danymi osobowymi od momentu ich pozyskania, aż do ich usunięcia. Zasadność sporządzenia rzeczonego dokumentu wynika z przepisów RODO albo ze zwykłych zasad rozsądnego postępowania. Stanowi on, jakby GPS zasad przetwarzania danych osobowych. Pokaże on drogę, w przypadku zaginięcia w obowiązkach narzuconych przepisami RODO. W przypadku kontroli stosownego organu dzięki niemu, w szczególności będzie wiadomo:

  • jakie czynności przetwarzania danych są podejmowane i
  • na jakiej podstawie to następuje, a także
  • komu przekazywane są dane osobowe oraz
  • jak długo można je przetwarzać.

Organ nadzorczy prawdopodobnie w pierwszej kolejności zapozna się z ww. dokumentem podczas kontroli przestrzegania przepisów RODO.

Dokumenty, dzięki którym realizowane są obowiązki informacyjne

Kolejnymi dokumentami, które należy sporządzić są dokumenty, dzięki którym realizowane są obowiązki informacyjne względem osób, których dane przetwarzamy.

Klauzule informacyjne

Klauzule informacyjne sporządza się dla poszczególnych kategorii podmiotów. Warto je wywiesić w siedzibie przedsiębiorstwa lub innym miejscu, gdzie zbierane są dane osobowe. Praktykuje się również ich załączanie do zlecenia wykonania usługi lub umowy.

Polityka prywatności

Dodatkowo jeżeli dany przedsiębiorca posiada stronę internetową zasadne jest zamieszczenie na niej polityki prywatności, która umożliwi spełnienie powyższych obowiązków informacyjnych. Każdorazowo, gdy dany podmiot zbiera dane osobowe poprzez formularz kontaktowy musi on zanim dany podmiot uzupełni formularz wypełnić rzeczone obowiązki. Zasadne jest umieszczenie pod ww. formularzem krótkiej informacji wstępnej informującej, w szczególności kto jest administratorem oraz w jakim celu są one przetwarzane. Dodatkowo należy zamieścić link do szczegółowych informacji na ten temat usytuowanych w polityce prywatności. Podobnie w stopce korespondencji mailowej, jaką nadajemy zasadne jest przedstawienie krótkiej informacji wstępnej oraz umieszczenie linka do szczegółowych informacji ten temat usytuowanych w polityce prywatności.

Umowy powierzenia przetwarzania danych osobowych

Dokumentami, które należy sporządzić wdrażając RODO są umowy powierzenia przetwarzania danych osobowych. Przed zawarciem takich umów zasadne jest zweryfikowanie, przykładowo poprzez wystosowanie stosownej ankiety, czy przekazywane dane osobowe będą bezpieczne.

Z kim zawieramy umowy powierzenia?

Rzeczone umowy należy zawrzeć przykładowo z informatykiem, księgową, usługodawcą chmury, którzy przetwarzają dane osobowe. Taką umowę należy zawrzeć nawet z mechanikiem, który ma dostęp do książki telefonicznej usytuowanej w pamięci komputera pokładowego naszego samochodu. Ocenę zasadności wymogów formalnych narzuconych przepisami RODO pozostawiam każdemu z Państwa.

Polityka bezpieczeństwa przetwarzania danych osobowych

Kolejnym dokumentem RODO, który należy sporządzić jest polityka bezpieczeństwa przetwarzania danych osobowych. Stanowi on zbiór zasad dotyczących środków bezpieczeństwa i procedur bezpiecznego przetwarzania danych osobowych. Przykładowo znajdziemy w niej informacje, iż dane osobowe powinny znajdować się w zamykanych szafach w pomieszczeniach zamykanych na klucz. Jest to dokument wewnętrzny. Nie ma potrzeby udostępniania go osobom spoza przedsiębiorstwa. Z jego treścią należy zapoznać osoby upoważnione do przetwarzania danych, np. pracowników.

Instrukcja zarządzania systemem informatycznym

Również instrukcja zarządzania systemem informatycznym należy do wewnętrznej dokumentacji RODO. Stanowi ona zbiór środków bezpieczeństwa i procedur bezpiecznego przetwarzania danych osobowych w systemie informatycznym (np. w komputerze, dyskach przenośnych itp.). Z jej treścią także należy zapoznać osoby upoważnione do przetwarzania danych.

Analiza ryzyka

Analiza ryzyka, to dokument RODO, który sporządza się przed rozpoczęciem procesu przetwarzania danych osobowych. Najpierw należy zidentyfikować, w jaki sposób i gdzie przetwarzane są dane osobowe oraz na jakie ryzyka to przetwarzanie jest narażone. Przykładowo przechowując dane w chmurze musimy zweryfikować, jakie ryzyka są z tym związane.

Co jeśli okaże się, że ryzyko naruszenia danych może być wysokie?

Wówczas należy przeprowadzić ocenę skutków przetwarzania danych osobowych dla ich ochrony. Można skorzystać ze specjalistycznych programów, przykład jednego z nich jest dostępny tutaj.

Jak ocenić, czy należy przeprowadzić ocenę skutków przetwarzania danych osobowych dla ich ochrony (DPIA)?

Pomocny może okazać się art. 35 ust. 3 RODO lub wykaz operacji zamieszczony pod tym linkiem.

Inne dokumenty

Pozostałe dokumenty RODO, które należy sporządzić to, w szczególności wzór:

  • upoważnienia do przetwarzania danych osobowych oraz
  • oświadczenia osoby upoważnionej, iż zapoznała się z przepisami dotyczącym przetwarzania danych osobowych i zobowiązała się do ich stosowania, a także
  • zawiadomienia o naruszeniu danych osobowych,
  • rejestru naruszeń i podejrzeń naruszeń oraz
  • ewidencji osób upoważnionych do przetwarzania danych osobowych.
Jakie sankcje grożą brak dokumentacji RODO?

O tym już była mowa w artykule dostępnym tutaj.

 

Published by

Wojciech Dmitrowski

RODO - dostosowanie dokumentacji do nowelizacji
Poprzedni RODO - dostosowanie dokumentacji do nowelizacji
Następny Prawnik, adwokat, radca prawny – kto jest kim?
toga radcy prawnego albo adwokata

Comments are closed.