iSecure logo
  • pl
  • en
    • Blog

    Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

    Olga Skotnicka
    Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
    Kategorie

    Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych (z drobnymi wyjątkami), jak również jej zawartości (tak jak to było na gruncie poprzedniej regulacji polskiej ustawy o ochronie danych osobowych oraz jej przepisów wykonawczych). I to właśnie do Was kieruję ten artykuł…

    Często słyszy się pytanie: Czy oby na pewno jakakolwiek dokumentacja RODO jest potrzebna w mojej organizacji, a jeżeli tak – czy mogę zakupić oferowane wzory w Internecie – GOTOWA DOKUMENTACJA RODO? Nie wiem jak w Was, we mnie budzi to skrajne emocje, ale o tym za moment.

    Zacznę od odpowiedzi na pierwsze pytanie: TAK, dokumentacja RODO jest potrzebna– powiedziałabym nawet niezbędna w każdej organizacji, niezależnie od jej wielkości. Fakt, iż RODO nie określa nazw dokumentów, jakie spółka powinna posiadać (z drobnymi wyjątkami) ani jaka ma być ich treść, nie oznacza, że nie trzeba ich posiadać w ogóle. RODO, nie określając formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, daje tym samym dużą swobodę w tym zakresie administratorom danych.

    Pamiętajmy również, że nie chodzi w tym wypadku o długość dokumentu. Chodzi przede wszystkim o jego jakość, wartość, z których dana organizacja będzie mogła korzystać. Na pewno poziom stosowanych zabezpieczeń będzie różny w zależności od wielkości i rodzaju prowadzonej działalności. Spisanie faktycznie istniejących procesów, przedstawienie wytycznych co do postępowania w zaistniałych sytuacjach np. wystąpienia incydentów to klucz do sukcesu każdej organizacji, to przyjemność pracy i zgodność z RODO.

    WAŻNE: POSIADANIE DOKUMENTACJI TO TYLKO JEDEN Z ELEMENTÓW DOSTOSOWANIA SIĘ I WDROŻENIA RODO.

    DLACZEGO WARTO WDROŻYĆ DOKUMENTACJĘ RODO?

    • jasne, przejrzyste wytyczne, co do postępowania w przedmiocie przetwarzanych danych osobowych, czyli podniesienie poziomu ochrony danych osobowych w Twojej organizacji,
    • podniesienie poziomu zabezpieczeń przetwarzanych danych osobowych w Twojej organizacji.

    DLACZEGO JESZCZE?

    Administrator musi nie tylko przestrzegać wymogów RODO, ale również całościowo wykazać zgodność  przetwarzania danych – tak wynika z  art. 24 ust 1 RODO, ale też z tzw. zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.

    Jak może to zrobić? Właśnie m.in. za pomocą prowadzonej dokumentacji. Bowiem dokumenty RODO to jeden ze sposobów na wywiązanie się z zasady rozliczalności.

    Doskonale wyjaśnia to Prezes Urzędu Ochrony Danych Osobowych, wskazując:

    Administrator ma obowiązek wykazać, że:

    • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
    • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
    • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO,
    • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
    • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
    • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,
    • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

    Wrócę teraz do odpowiedzi na drugie pytanie, czyli czy warto sięgać po ,,GOTOWĄ DOKUMENTACJĘ RODO”. Tak jak wspomniałam wyżej, budzi to we mnie skrajne emocje, i pewnie jesteście ciekawi dlaczego? Jeżeli Twoja organizacja przeszła audyt w zakresie RODO oraz otrzymała szereg wytycznych i rekomendacji w raporcie poaudytowym, wiesz o czym mówię.

    W jaki sposób można stworzyć dokumentację RODO nie znając procesów w danej organizacji?

    Czy ta dokumentacja może być adekwatna do sytuacji danego podmiotu?

    Opracowanie dokumentacji zgodnej z RODO musi być poprzedzone wieloaspektową analizą i oceną ryzyka, należy wdrożyć system bezpieczeństwa danych osobowych. System, jak i dokumentacja, powinien być cały czas zarządzany, aktualizowany i udoskonalany. Odpowiedź nasuwa się zatem sama.

    Jak wspomniałam w niniejszym artykule, RODO nie wskazuje konkretnych nazw dokumentacji z drobnymi wyjątkami.

    Sam Urząd Ochrony Danych Osobowych rekomenduje, żeby były to:

    • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO,
    • wytyczne dotyczące klasyfikacji naruszeń i procedura zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO,
    • procedura na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO,
    • procedura prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO,
    • raport z przeprowadzonej, ogólnej analizy ryzyka,
    • raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy,
    • procedura związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy,
    • plan ciągłości działania – art. 32 ust 1 pkt b RODO,
    • procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

    Dodatkowo jako IOD wspomniałabym o innych ważnych wg mnie dokumentach, niewskazanych przez UODO, które zostały wymienione w RODO lub wyczytane z niego „między wierszami”:

    • polityka ochrony danych,
    • zasady privacy by design i privacy by default,
    • procedura realizacji praw osób, których dane dotyczą,
    • zasady retencji danych,
    • procedura nadawania upoważnień – ewidencja upoważnień,
    • procedura szkoleń,
    • procedura audytu wewnętrznego,
    • procedura weryfikacji podmiotów współpracujących.

    Istotnym jest, by organizacja zwracała uwagę na przedmiot i treść powyższych dokumentów – ich nazwa i struktura nie są ważne. Pamiętajmy również, że powyższy zakres nie jest obligatoryjny – niezbędne dokumenty powinna wykazać analiza ryzyka, bowiem nie w każdej organizacji występują identyczne ryzyka.

    Mam nadzieję, że z niniejszego artykułu dowiedziałeś się, że:

    • dokumentacja RODO w Twojej organizacji jest potrzebna, a wręcz niezbędna,
    • dokumentacja RODO musi być indywidualnie dostosowana do procesów funkcjonujących w Twojej organizacji,
    • dokumentacja RODO powinna zawierać elementy wymagane z wykazu z UODO, ale również inne szczególnie zalecane bądź stanowiące dobrą praktykę dla Twojej organizacji.

    Jeżeli czujesz, że jest to dla Ciebie ,,czarna magia’’ skontaktuj się z nami – chętnie pomożemy ?

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Agnieszka Rapcewicz

    Franczyza i RODO

    Umowa franczyzy zdecydowanie nie kojarzy się w pierwszej kolejności z tematem ochrony danych osobowych. Franczyza jest rozumiana jako system sprzedaży towarów lub technologii czy świadczenia usług, wiążący się z bliską współpracą niezależnych prawnie podmiotów (franczyzodawcy i franczyzobiorcy). Jest to jeden ze sposobów na rozpoczęcie własnego biznesu, gdy nie za bardzo mamy na niego pomysł. Możemy […]

    Czytaj więcej
    Olga Skotnicka

    Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

    Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

    Czytaj więcej
    Jak przetwarzać dane – poradnik (cz. I)
    Agnieszka Rapcewicz

    Prewencyjny pomiar temperatury

    Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki