image

    Dokumentacja przetwarzania danych osobowych zgodna z RODO

    By Euroius On poniedziałek, Październik 15 th, 2018 · no Comments · In

    „RODO – nowe podejście do ochrony danych” „RODO niczego nam nie narzuca, podmiot sam oceni jakie dokumenty musi prowadzić.”, – z pewnością każdy z nas, nie raz słyszał powyższe hasła. Rzeczywiście od 25 maja 2018 r. zmieniliśmy nasze podejście do ochrony danych osobowych. Z dniem rozpoczęcia stosowania RODO oraz wejścia w życie nowej ustawy o ochronie danych osobowych (25.05.2018 r.), co do zasady, przestało obowiązywać rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które nakazywało nam prowadzenie określonych dokumentów. Jednakże nie oznacza to, że obecnie administrator nie jest zobowiązany do prowadzenia żadnej dokumentacji, w której uregulowane będą przyjęte przez niego procedury i zasady dotyczące przetwarzania danych osobowych.

    RODO zawiera pewne wymagania dotyczące procedur, m.in prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO, zgłaszania naruszeń ochrony danych i prowadzenia wewnętrznego rejestru naruszeń, o którym mowa w art. 33 RODO, czy wymogów i procedury przeprowadzania analizy ryzyka, o których mowa w art. 35 RODO.

    Wskazane powyżej dokumenty dotyczące RODO

    nie są one jednak jedynymi jakie administrator ma obowiązek prowadzić. Należy pamiętać, że zgodnie z przepisami RODO, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.  Obowiązujące przepisy nakładają na administratora obowiązek przestrzegania ogólnych zasad przetwarzania danych oraz obowiązek wykazania, że dane osobowe są przetwarzane zgodnie z prawem.

    Nie da się jednoznacznie odpowiedzieć na pytanie jakie dokumenty powinien sporządzić każdy administrator, nazwy tych dokumentów mogą być różne, istotne jest aby ich treść potwierdzała, że administrator wywiązuje się ze swoich obowiązków związanych z przetwarzaniem danych.

    Z pomocną dłonią wystąpił do administratorów nowo utworzony organ – Prezes Urzędu Ochrony Danych Osobowych (PUODO)

    w publikacji na swojej stronie internetowej odpowiedział na pytanie co powinna zawierać dokumentacja RODO i przedstawił wykaz elementów, o które musimy uzupełnić naszą dotychczasową dokumentacje, mianowicie:

    1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
    2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszania naruszeń ochrony danych do organu nadzorczego (PUODO) – art. 33 ust. 3 RODO;
    3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
    4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO;
    5. raport z przeprowadzonej, ogólnej analizy ryzyka;
    6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
    7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
    8. plan ciągłości działania – art. 32 ust. 1 pkt b RODO;
    9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust. 1 pkt c i d RODO.

    Należy pamiętać, że dobrze opracowana dokumentacja, której zawartość będzie odpowiadać wymogom jakie stawia nam RODO będzie jednocześnie instrumentem pozwalającym wykazać zgodność czynności przetwarzania z przepisami prawa. Istotne jest zatem abyśmy zadbali o zabezpieczenie naszych firm także od wewnątrz poprzez wdrożenie odpowiednich procedur.

    Mamy nadzieję, że powyższe informacje będą dla Państwa użyteczne. Informacje te nie stanowią porady prawnej ani opinii. W celu uzyskania szczegółowych informacji związanych z interesującą Państwa dziedziną prawa, prosimy o kontakt.