Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Jakie są niezbędne dokumenty wymagane przez RODO?

Jakie są niezbędne dokumenty wymagane przez RODO?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Wejście w życie RODO spowodowało wzmożone zainteresowanie tematyką ochrony danych osobowych. To nie oznacza, że mamy do czynienia z rewolucją w zakresie dokumentacji, którą przedsiębiorca musi wytwarzać i gromadzić. Dokumentację tego typu należało mieć od dłuższego czasu. Można stwierdzić, że RODO wprowadziło nawet pewne rozluźnienie rygoru obowiązującego w tym obszarze. Regulacje unijne wprowadziły jednocześnie odpowiedzialność karno-administracyjną za niedopełnienie obowiązków w zakresie dokumentacji. Dlatego każdy przedsiębiorca powinien mieć świadomość, czego wymagają od niego nowe przepisy. Jakie są dokumenty wymagane przez rodo? Przeczytaj nasz artykuł i dowiedz się więcej

Dokumenty wymagane przez RODO

Bez wątpienia najbardziej istotny dokument, który powinien wytworzyć każdy przedsiębiorca zatrudniający jakichkolwiek pracowników, to rejestr czynności przetwarzania. 

Ponadto obowiązkiem dokumentacji objęto obszar naruszeń ochrony danych osobowych (art. 33 RODO). Po pierwsze, w przypadku wystąpienia takiego naruszenia przedsiębiorca bez zbędnej zwłoki – w miarę możliwości (jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) – zgłasza je właściwemu organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych). Odstąpienie od tej czynności jest możliwe jedynie w przypadku, gdy jest mało prawdopodobne, że naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie naruszenia powinno:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W związku z wystąpieniem naruszenia ochrony danych osobowych administrator został zobowiązany do ich rzetelnego dokumentowania. Dokumentacji podlegają przede wszystkim okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator został zobowiązany do niezwłocznego zawiadomienia osoby, której dane dotyczą. Zawiadomienie takie powinno być napisane jasnym i prostym językiem oraz powinno opisywać charakter naruszenia. Wszystkie powyższe działania powinny znaleźć odzwierciedlenie w dokumentacji, która musi być jednoznaczna i przejrzysta, tak by pozwoliła organowi nadzorczemu na zweryfikowanie przestrzegania przepisów i słuszności podjętych działań.

Kolejne obowiązki prowadzenia dokumentacji wiążą się z prowadzeniem oceny skutków dla ochrony danych (art. 35 RODO) oraz uprzednimi konsultacjami z organem nadzorczym (art. 36 RODO). Szczegółom w tym zakresie poświęcono osobny artykuł: Czym jest ocena skutków dla ochrony danych (DPiA)?

To nie koniec dokumentacji – zasada rozliczalności w RODO

Przedstawione powyżej obowiązkowe elementy dokumentacji dotyczą przede wszystkim szczególnych okoliczności (naruszenie bezpieczeństwa danych osobowych) lub firm przetwarzających dane osobowe na dużą skalę (ocena skutków ochrony danych i uprzednie konsultacje). Jedynie rejestr czynności przetwarzania czy kategorii czynności przetwarzania jest obowiązkowy niemal w każdej firmie.

Czy zatem można zrezygnować z polityki bezpieczeństwa i innej dokumentacji, która obowiązywała przed wejściem w życie RODO? Przepisy RODO, mimo ogólnego i nieco pozornego rozluźnienia w zakresie obowiązku prowadzenia dokumentacji, nakładają na administratora odpowiedzialność za przestrzeganie przepisów oraz obowiązek wykazania ich przestrzegania (czyli tzw. rozliczalność).

Jest to pojęcie bardzo ogólne i dające przedsiębiorcy dużą swobodę. Nie należy jednak tego obowiązku bagatelizować, ponieważ w przypadku kontroli z Urzędu Ochrony Danych Osobowych właścicielowi firmy zabraknie argumentów, co może okazać się bardzo kosztowne.

Aby uniknąć problemów i w sposób skuteczny zapewnić sobie możliwość wykazania przed organem kontrolnym, że dba się o bezpieczeństwo danych osobowych, należy posiadać przynajmniej następującą dokumentację:

  1. Polityka bezpieczeństwa danych osobowych (nie należy jej mylić z polityką prywatności);

    1. dokument ten powinien zawierać:

  • ogólne zasady przetwarzania danych osobowych w firmie,

  • zasady dostępu do danych osobowych, czyli procedurę nadawania i anulowania upoważnień dla pracowników,

  • założenia dotyczące realizacji praw osób, których dane dotyczą,

  • zastosowanie środki bezpieczeństwa w zakresie ochrony danych osobowych (najlepiej z podziałem na techniczne i organizacyjne),

  • procedurę aktualizowania rejestru czynności przetwarzania,

  • procedurę zgłaszania incydentów (naruszeń) bezpieczeństwa danych osobowych,

  • procedurę sprawdzenia zgodności przetwarzania danych osobowych i doskonalenia polityki bezpieczeństwa danych osobowych;

  • Instrukcja zarządzania systemem informatycznym.

    1. w mniejszych firmach, nieprzetwarzających danych na dużą skalę, można ją włączyć do polityki bezpieczeństwa danych osobowych;

    2. powinna zawierać m.in. opis zasad, procedur, środków bezpieczeństwa w związku z przetwarzaniem danych osobowych w programach komputerowych;

  • Upoważnienia dla pracowników mających dostęp do danych osobowych.

    1. zaleca się również prowadzenie rejestru tych upoważnień zawierającego dane pracownika;

  • Oświadczenia o poufności podpisane przez wszystkich pracowników pracujących z wykorzystaniem danych osobowych.

    1. oświadczenia takie zabezpieczają interesy przedsiębiorcy np. w przypadku ujawnienia, kradzieży danych osobowych przez pracownika;

  • Klauzule informacyjne przedstawione osobom, których dane osobowe przetwarzamy.

    1. należy zadbać, aby właściwie skonstruowaną klauzulę informacyjną przedstawić każdej osobie, której dane osobowe się przetwarza;

    2. najlepiej, gdy posiada się pisemne oświadczenie osoby zapoznawanej, co w najlepszy sposób zabezpiecza interes przedsiębiorcy;

    3. jeśli ze względu na specyfikę i zakres przetwarzanych danych osobowych nie ma możliwości zebrania oświadczeń o zapoznaniu, należy wprowadzić procedury umożliwiające każdemu zainteresowanemu zapoznanie się z klauzulą informacyjną (w takim przypadku w interesie przedsiębiorcy leży, by udowodnić, że taka procedura istnieje i istniała w przeszłości);

    4. nie można zapominać, że klauzule informacyjne powinny być stosowane również w obszarze działalności internetowej, np. w zakresie kontaktu z klientami (w takim przypadku dokumentacja, o której mowa, będzie miała formę elektroniczną);

  • Dokumentacja szkoleń.

    1. ponieważ administrator danych powinien realizować szkolenia dla pracowników w zakresie ochrony danych osobowych, warto posiadać dokumenty świadczące o ich przeprowadzeniu (np. harmonogram szkoleń wraz z listą obecności);

  • Zgody osób, których dane są przetwarzane.

    1. zgoda osoby, której dane się przetwarza, jest jedną z podstaw dających przedsiębiorcy prawo do przetwarzania danych osobowych; w przypadku braku innych przesłanek do przetwarzania danych osobowych wynikających z RODO (art. 6), brak udokumentowanej zgody jest jednym z najpoważniejszych błędów, ponieważ czyni przetwarzanie danych nielegalnym;  

    2. zgoda nie jest wymagana, jeśli dane osobowe przetwarza się w celu realizacji umowy; zgoda jest niezbędna w sytuacji, gdy np. wykraczamy poza umowę lub jeszcze nie posiadamy umowy (np. zgoda dotycząca marketingu bezpośredniego lub zgoda na przetwarzanie danych osobowych w procesie rekrutacyjnym);

  • Umowy powierzenia przetwarzania danych osobowych.

    1. każdy przedsiębiorca powierzając przetwarzanie danych osobowych innemu podmiotowi powinien dopilnować, aby powierzenie miało formę pisemną, która zobowiąże podmiot przetwarzający do utrzymania standardów gwarantujących bezpieczeństwo danych i zabezpieczy interesy administratora danych;

    2. warto dokonać przeglądu firm współpracujących i obszarów, jakich ta współpraca dotyczy, ponieważ może się okazać, że nieświadomie przekazuje się dane osobowe firmom, które na pozór nie mają nic wspólnego z przetwarzaniem danych osobowych (np. firmy usuwające odpady opakowaniowe, na których mogą znajdować się dane osobowe).

    Jak widać, dokumentacji dotyczącej ochrony danych osobowych jest dużo. Trzeba jednak mieć na uwadze fakt, że główne koszty (związane przede wszystkim z czasem wymaganym na jej opracowanie i wprowadzenie) są ponoszone jednorazowo. Później powiela się jedynie wypracowane wzorce oraz aktualizuje wprowadzone dokumenty i procedury.

    W zależności od wielkości przedsiębiorstwa i skali przetwarzania danych osobowych można modyfikować nieznacznie przedstawiony w artykule katalog dokumentacji, rozszerzając go lub ograniczając. Biorąc pod uwagę bilans poniesionych na wdrożenie dokumentacji kosztów i ewentualnych strat płynących z jej braku, nie ma wątpliwości, że warto poświęcić tej kwestii czas.

    Polecamy:

    CRM (Customer Relationship Management) - co to jest?

    Etapy wdrażania RODO w sklepie internetowym
    Kim jest Inspektor Ochrony Danych na gruncie RODO?
    Kwiecień 2024
    18
    Czwartek
    • Dzień ustawowo wolny od pracy
    • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
    • Podatek dochodowy
    • PIT 4
    • PIT 8A
    • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
    • VAT 7
    • VAT 7K
    • VAT UE (elektroniczna)
    • PIT 28
    • PIT 36
    • PIT 36L
    Wyświetl artykuły z tego dnia
    Zobacz wszystkie

    Najchętniej czytane

    1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
    2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
    3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
    4. Profil zaufany a podpis elektroniczny. Czym się różnią?
    5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
    Zobacz wszystkie

    Kalkulatory

    Zobacz wszystkie kalkulatory

    Wzory dokumentów

    Zobacz wszystkie wzory

    Ochrona danych

    Dostęp do danych i ich wykorzystywania - nowe rozporządzenie UE

    Kalkulatory Wzory umów Wskaźniki Porady online

    Patronaty

    Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
    XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
    Open Source Day już 18 kwietnia w Warszawie!
    Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024
    SEO Vibes Poland - największa konferencja WhitePress z międzynarodowymi ekspertami Zobacz wszystkie
    Artykuły
    Brak wyników.
    Więcej artykułów
    Wzory
    Brak wyników.
    Więcej wzorów