LexDigital

Dokumentacja RODO, która pozwoli uniknąć Tobie kary

Unijne przepisy o ochronie danych osobowych obowiązują od 2018 roku, w związku z ich wejściem w życie na administratorach spoczywa obowiązek nie tylko przetwarzania danych osobowych zgodnie z przepisami, ale również dokumentowanie tych czynności i realizacji obowiązków. W tym artykule są przedstawione i opisane dokumenty, jakie pozwolą spełnić obowiązki w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym.

Dokumentacja RODO, która pozwoli uniknąć Tobie kary

Czego potrzebujemy do ochrony danych osobowych w firmie?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO lub Rozporządzenie) nie wskazuje enumeratywnie katalogu wymaganych dokumentów. W treści Rozporządzenia możemy znaleźć zapisy, które wymagają posiadania i prowadzenia przez administratora określonych dokumentów i rejestrów. Polski organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych) nie wydał wytycznych w zakresie niezbędnej dokumentacji posiadanej przez Administratora.

RODO, GDPR, dokumentacja RODO

Czy dokumentacja RODO jest konieczna?

Czy w związku z tym, że w Rozporządzeniu nie ma mowy o danym dokumencie, to oznacza, że nie ma obowiązku jego posiadania albo jest on zbędny? Nie – musimy tu pamiętać o zasadzie rozliczalności. Przetwarzając dane osobowe, musimy mieć na względzie, że jako administrator musimy być w stanie wykazać przed Urzędem Ochrony Danych Osobowych, że przestrzegamy przepisy w zakresie ochrony danych osobowych (np. przestrzeganie zasady privacy by design), a najłatwiej zrobić to z wykorzystaniem przyjętych procedur przetwarzania i dokumentacji dotyczącej RODO. 

dokument, documents, notes

Jakiej dokumentacji, związanej z ochroną danych osobowych potrzeba?

Nie można ustalić sztywnej listy dokumentów gwarantujących zgodność z przepisami o ochronie danych osobowych. Każda organizacja, ze względu na strukturę, organizację wewnętrzną czy przedmiot działalności musi kierować się zasadą rozliczalności, dlatego dokumentacja RODO powinna być dopasowana do organizacji.

Przykładowe wzory dokumentów, przygotowanie przez naszych ekspertów znajdziesz tu: https://lexdigital.pl/wzory/darmowe-dokumenty-rodo/. Możesz je pobrać za darmo i wdrożyć w swojej organizacji by uniknąć naruszeń, które powodują wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

check, checkpoint, checklist

Podział dokumentacji

Dokumentację z zakresu ochrony danych osobowych można podzielić ze względu na zewnętrzną i wewnętrzną. Zewnętrzna to ta, która kierowana jest np. do klientów (m.in. polityka prywatności, klauzule informacyjne), natomiast wewnętrzna to dokumentacja, która określa zasady przetwarzania danych osobowych (np. polityka prywatności, regulamin ochrony danych osobowych). 

documents, files, dokumenty

Dokumentacja RODO

Poniżej przedstawimy wymaganą dokumentację oraz dokumentację, którą warto posiadać, mimo że RODO nie wymienia jej wprost w swojej treści. Dokumentację tę podzieliliśmy na trzy kategorie: procedury i polityki, upoważnienia i klauzule, rejestry (np. rejestr czynności przetwarzania).

polityka ochrony danych, ochrona danych, dane osobowe

Procedury i polityki

Polityka ochrony danych, jako dokument stanowi podstawowy dokument regulujący obszar ochrony danych osobowych wewnątrz organizacji, określa zasady postępowania z danymi oraz obowiązki i procedury związane z przetwarzaniem danych osobowych. Często częścią polityki ochrony danych są dokumenty, wymienione w dalszej części artykułu. Mogą one stanowić poszczególne zapisy w treści polityki, załączniki do polityki lub odrębne dokumenty, do których polityka odsyła w poszczególnych kwestiach. Przykładowo w polityce ochrony danych można określać podstawowe zasady retencji, a szczegółowo te zasady może opisywać polityka retencji danych, do której polityka ochrony odsyła. 

Potrzebujesz polityki prywatności lub polityki cookies do swojej firmy? Pobierz je za darmo tu.

Regulamin ochrony danych osobowych jest dokumentem wewnętrznym, który kierowany jest do pracowników i współpracowników, którzy przetwarzają dane osobowe w organizacji. Jest to rodzaj instrukcji w jaki sposób postępować z danymi. W przeciwieństwie do polityki ochrony danych regulamin wskazuje konkretne obowiązki ciążące na pracownikach i współpracownikach. 

privacy policy, IT, computer

Polityka retencji danych to dokument, który określa zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora. Polityka powinna określać okresy przechowywania danych oraz zasady i sposób ich usuwania w odniesieniu do poszczególnych procesów wskazanych w RCP. 

Procedura na wypadek wystąpienia naruszeń ustala zasady i proces postępowania w przypadku wystąpienia naruszenia ochrony danych. Powinna określać osoby odpowiedzialne za wyjaśnienie naruszenia, za określenie działań następczych oraz działań zaradczych, oraz osoby, które należy powiadomić w przypadku wystąpienia naruszenia.

Czy imię i nazwisko to dane osobowe? Dowiesz się z tego artykułu

Procedura postępowania z incydentami ochrony danych ustala zasady i proces postępowania w przypadku wystąpienia incydentu ochrony danych. Powinna określać osoby odpowiedzialne za wyjaśnienie incydentu, za określenie działań następczych oraz działań zaradczych, oraz osoby, które należy powiadomić w przypadku wystąpienia incydentu.

law, prawo, rozporządzenie

Procedura realizacji praw osób, których dane dotyczą jest dokumentem ustalającym:

  • w jakich sytuacjach można odmówić realizacji wniosku;
  • w jakiej sytuacji możliwe jest wydłużenie terminu na udzielenie odpowiedzi;
  • formę udzielenia odpowiedzi;
  • kto w organizacji realizuje prawa osób;
  • jak poprawie zweryfikować tożsamość osoby składającej wniosek;
  • jak postępować z nieprecyzyjnie sformułowanymi wnioskami.


Procedura realizacji praw osób, przygotowana przez ekspertów z instrukcją wdrożenia, uwzględniająca procedury realizacji wszystkich poszczególnych praw dostępna tu.

Należy pamiętać, że procedura powinna obejmować realizację m.in. prawa: 

  • dostępu do danych;
  • sprostowania danych;
  • przenoszenia danych;
  • sprzeciwu w zakresie danych osobowych;
  • usunięcia danych („prawo do bycia zapomnianym”);
  • ograniczenia przetwarzania danych;
  • niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.
    instrukcja zarządzania systemem informatycznym, prawa podmiotu, dane osobowe

Instrukcja zarządzania systemem informatycznym powinna określać w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym;
  • stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • określenie relacji między systemami informatycznymi służącymi do przetwarzania danych;
  • procedury odtwarzania systemu;
  • procedury wykonywania przeglądów i konserwacji systemów informatycznych oraz nośników informacji służących do przetwarzania danych osobowych.

Ważne, aby instrukcja zarządzania systemem informatycznym była dostosowana do rodzaju i wielkości przedsiębiorstwa.

Ocena skutków dla ochrony danych określa, kiedy i w jaki sposób należy dokonać oceny skutków dla ochrony danych. W sytuacji przetwarzania danych osobowych art. 35 RODO wskazuje, że należy stwierdzić, że ocena skutków jest obowiązkowe zawsze, gdy:

  • dochodzi do przetwarzania danych w szczególności z użyciem nowych technologii;
  • ze względu na swój charakter, zakres, kontekst i cele przetwarzanie może powodować wysokie ryzyko naruszenia wolności lub praw osób fizycznych;
  • dany rodzaj przetwarzania został wskazany w wykazie ustanowionym przez organ nadzorczy jako podlegający wymogowi dokonana oceny.

Metodyka oceny ryzyka to dokument określający zasady oceny ryzyka w danym procesie przetwarzania danych osobowych. Administrator danych może opracować własną metodykę lub skorzystać z metodyki właściwej normy ISO albo z narzędzia przygotowanego przez francuskiego regulatora — CNIL. Należy podkreślić, że metodyka przeprowadzanie oceny ryzyka odnosi się do ryzyka w procesach występujących u administratora. Potrzebujesz metodyki oceny ryzyka? Przygotowaliśmy kompletną procedurę, która uchroni Cię przed karami RODO: link.

Plan ciągłości działania wraz z procedurą odtwarzania systemów po awarii oraz ich testowania określają zasady postępowania na wypadek awarii lub innego czynnika zewnętrznego powodującego brak dostępności danych, lub systemów, oraz regulują zasady postępowania po awarii systemu, lub braku dostępności do danych osobowych.

plan ciągłości działania, metodyka oceny ryzyka, compliance

Wzory, upoważnienia i klauzule

Wzór umowy powierzenia, która będzie wykorzystywana w przypadku wystąpienia powierzania przetwarzania danych osobowych. W zależności od zakresu działalności organizacja może występować jako administrator danych lub przetwarzający podmiot.

Umowa powierzania powinna zawierać w szczególności postanowienia określające:

  1. strony umowy, ze wskazaniem administratora i przetwarzającego;
  2. przedmiot i czas przetwarzania;
  3. rodzaj powierzonych danych i kategorie osób, których dane dotyczą;
  4. charakter i cel przetwarzania;
  5. obowiązki i prawa przetwarzającego;
  6. obowiązki i prawa administratora.

Często w umowach powierzenia można znaleźć zapisy określające m.in. zasady prowadzenia audytu podmiotu przetwarzającego, zasady postępowania z danymi po wygaśnięciu umowy powierzenia oraz zasady dalszego powierzenia (podpowierzenia). Darmową umowę powierzenia, przygotowaną zgodnie z RODO znajdziesz tutaj.

podpis, paper, umowa

Wzór ankiety podmiotu przetwarzającego to dokument, który powinniśmy przesłać podmiotowi przetwarzającemu przed powierzeniem danych. Zadaniem ankiety jest wstępne zweryfikowanie poziomu wdrożenia rozwiązań technicznych i organizacyjnych w podmiocie przetwarzającym. W przypadku powzięcia wątpliwości co do poziomu wdrożenia przepisów o ochronie danych w podmiocie przetwarzającym konieczne jest przeprowadzenie (przed powierzeniem danych) bardziej szczegółowego audytu. Wzór ankiety podmiotu przetwarzającego (cheklistę oceny procesora), przygotowany przez ekspertów znajdziesz tu.

Klauzule informacyjne, inaczej obowiązki informacyjne, a więc dokumenty, które służą do realizacji obowiązku ciążącego na administratorze zgodnie z art. 13 lub 14 RODO. W obowiązku informacyjnym należy wskazać m.in.: dane administratora, cele i podstawy przetwarzania, prawa przysługujące podmiotom danych. Bardzo istotnym jest prawidłowe wskazanie celów przetwarzania. Przygotowaliśmy dla Ciebie darmowe wzory obowiązków i klauzul informacyjnych na tej stronie.

Wzór upoważnienia do przetwarzania danych osobowych to dokument stosowany wewnątrz organizacji, który stwierdza udzielenie upoważnienia do przetwarzania danych osobowych danemu pracownikowi. 

klauzula informacyjna, obowiązek informacyjny, podmiot przetwarzający

Raporty, rejestry i ewidencje 

Rejestr czynności przetwarzania (RCP), którego obowiązek prowadzenia wynika z art. 30 ust. 1 RODO, zawiera następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów i inspektora danych osobowych,
  • cele przetwarzania danych osobowych osób fizycznych,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • kategorie odbiorców, którym zostały udostępnione dane osobowe (lub będą udostępnione w przyszłości), w tym odbiorców w państwach trzecich i w międzynarodowych organizacjach,
  • informacje w zakresie przekazywania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
  • planowane terminy usunięcia poszczególnych kategorii danych osobowych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych spoczywa na administratorze lub jego przedstawicielu. Wyżej wskazane elementy zaleca się uzupełnić o podstawę prawną przetwarzania. RCP może zawierać dodatkowe elementy, które administrator uzna za stosowane i niezbędne. Rejestr dla każdego z procesów powinien zawierać również opis środków bezpieczeństwa.

Co to jest anonimizacja i pseudonimizacja?

files, archive, documents

Rejestr kategorii czynności przetwarzania (RKCP) - zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający dane ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania. Podmiot przetwarzający dane przetwarza je w imieniu administratora. Rejestr kategorii czynności przetwarzania powinien zawierać następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, lub podmiotów przetwarzających, oraz każdego administratora, w którego imieniu działa przetwarzający podmiot, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń, 
  • opis organizacyjnych i technicznych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.
    GDPR, RODO, ochrona danych

Art. 32-36 RODO zapewniają kontrolę nad przetwarzaniem danych osobowych w postaci monitorowanie przestrzegania przepisów. Więcej o tym, jak prowadzić rejestry przetwarzania danych osobowych przeczytasz w artykule "Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania".

Rejestr incydentów (rejestr naruszeń ochrony danych), którego obowiązek prowadzenia wynika z art. 33 ust. 5 RODO, przeznaczony jest do dokumentowania naruszeń ochrony danych. Rejestr ten powinien zawierać m.in. informacje o incydencie lub naruszeniu, dacie, przyczynach, charakterze, podjętych działaniach czy środkach zaradczych na przyszłość. Rejestr powinien zawierać informacje o ewentualnym naruszeniu wolności osób, w zakresie ochrony danych.

Rejestr umów powierzenia służy do ewidencjonowania zawartych umów przetwarzania, dodatkowo może zawierać informacje o audytach podmiotów przetwarzających (ich wynikach i planowanej dacie), informacje o zakresie powierzonych danych czy osobie do kontaktu w danym podmiocie.

dane, dane personalne, dane pracownika

Ewidencja upoważnień do przetwarzania danych osobowych służy do kontroli liczby osób upoważnionych oraz pomaga w zarządzaniu udzielonymi upoważnieniami. Ewidencja powinna zawierać m.in. imię i nazwisko pracownika, datę udzielenia upoważnienia, datę jego cofnięcia lub wygaśnięcia, stanowisko, osobę udzielającą upoważnienia czy zakres upoważnień.

Raport z analizy ryzyka to dokument, który powstaje w oparciu o metodykę oceny ryzyka obowiązującą u administratora. Raport może obejmować wszystkie procesy lub pojedynczy proces przetwarzania danych osobowych występujący u administratora.

Raport z audytu podmiotu przetwarzającego to dokument, który opisuje wyniki kontroli podmiotu przetwarzającego. Raport może zawierać informacje o stwierdzonych niezgodnościach, obszarach do poprawy lub rozwoju, zakresie prowadzonego audytu, datę  i formę audytu, osoby prowadzące audyt, osoby reprezentujące przetwarzającego w trakcie audytu oraz rekomendowane działania naprawcze. Należy pamiętać, że kontrola podmiotów przetwarzających z punktu widzenia zasady rozliczalności jest bardzo istotna.

raporty, analiza ryzyka, dokumentacja

Podsumowanie

Nawet najlepsza i pełna dokumentacja ochrony danych osobowych, która nie jest wdrożona, stosowana i przestrzegana nie ochroni nas w przypadku kontroli ze strony Urzędu Ochrony Danych Osobowych. 

Zasada rozliczalności, o której należy pamiętać przy wdrożeniu dokumentacji, instrukcje postępowania oraz materiały informacyjne, które powinny dać możliwość pracownikom zrozumienia obowiązujących zasad, a także inne pozostałe dokumenty wymagane, których posiadanie jest obowiązkiem każdego przedsiębiorcy, powinny funkcjonować w organizacji i być poddawane kontroli — najlepiej przez podmioty certyfikujące.

Każdy z wyżej opisanych dokumentów z obszaru ochrony danych osobowych, a także jego zakres i zawartość należy dopasować do danej organizacji, jej struktury, kultury, zakresu i przedmiotu działalności, procesów przetwarzania danych oraz zakresu przetwarzanych danych. 

dokumentacja ochrony danych osobowych, bezpieczeństwo danych, data security

Prawidłowo wdrożona dokumentacja RODO powinna pozwolić nam na wykazanie realizacji wszystkich praw spoczywających na naszej organizacji, która w procesach przetwarzania występuje jako administrator danych. 

Wraz z samym wdrożeniem i używaniem dokumentacji ochrony danych osobowych należy pamiętać o świadomości pracowników i audytowaniu przestrzegania obowiązków wynikających z dokumentacji ochrony danych osobowych.

Wynikiem audytów przestrzegania dokumentacji ochrony danych osobowych mogą być zmiany w dokumentacji oraz samych procesach i procedurach w niej opisanych. Zmiany są niezbędne w przypadku gdy zostanie zidentyfikowane wysokie ryzyko naruszenia praw w zakresie danych osobowych.

Szukasz kompletnego pakietu dokumentów RODO dla swojej firmy? Zajrzyj do naszego sklepu — przygotowaliśmy pakiety dokumentów, dopasowane pod specyfikę działania Twojej firmy. Masz jakieś pytanie? Napisz do nas biuro@lexdigital.pl

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk