Spis treści
Czym jest RODO?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych (ang. General Data Protection Regulation – GDPR), obowiązuje w całej Unii Europejskiej, reguluje zasady przetwarzania danych osobowych. Wprowadzono je w 2018 roku, aby wzmocnić ochronę prywatności obywateli.
RODO określa, jakie prawa przysługują osobom, których dane dotyczą, a także jakie obowiązki mają podmioty przetwarzające te dane. Dotyczy to zarówno firm, instytucji publicznych, jak i osób prywatnych, jeżeli przetwarzają dane osobowe w ramach prowadzonej działalności.
Jak wdrożyć RODO?
Jednym z najczęściej zadawanych pytań odnośnie wdrożenia RODO jest: czy i jakiej dokumentacji potrzebuję, by moja organizacja przetwarzała dane zgodnie z RODO. Zarówno w RODO jak i w ustawie o ochronie danych osobowych nie spotkamy konkretnych wytycznych mówiących jaki wymagany spis dokumentów powinniśmy posiadać.
Dokumentacja RODO
Dokumentacja RODO jest kluczowym elementem, który umożliwia organizacjom udowodnienie zgodności z przepisami o ochronie danych. Zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych, każdy podmiot przetwarzający dane osobowe ma obowiązek nie tylko przetwarzania danych zgodnie z RODO oraz musi być w stanie to wykazać. Zasada ta została opisana w art. 5 ust. 2 RODO i nazywamy ją zasadą rozliczalności. Prowadzenie dokumentacji RODO pomoże Ci wykazać, że przetwarzasz dane zgodnie z RODO.
Czy dokumentacja RODO jest potrzebna?
Jak już wspomnieliśmy wyżej, w treści unijnego rozporządzenia oraz ustawie o ochronie
danych nie znajdziemy całego spisu wymaganych dokumentów od A do Z. W RODO
jednak znajdziemy opis wymogów, które należy spełnić, a dużą część z nich możemy
wykazać w dokumentacji. Będą to m.in:
- Polityka ochrony danych osobowych, opisana w art. 24 ust. 2 RODO,
- Zasady retencji danych – art. 5 ust. 1 lit. e RODO,
- Rejestr czynności przetwarzania i rejestr kategorii przetwarzania, które zostały opisane
w art. 30 RODO, - Procedura i ewidencja upoważnień, opisana w art. 29 RODO,
- Procedura zgłoszenia naruszeń ochrony danych, opisana w art. 33 ust. 5 RODO,
- Rejestr naruszeń ochrony danych, opisany w art. 33 ust. 5 RODO,
- Ocena skutków dla ochrony danych (jeśli jest konieczna), opisana w art. 35 RODO,
- Analiza ryzyka, opisana w motywie 76 RODO,
- Umowa powierzenia przetwarzania danych, opisana w art. 28 RODO,
- Spis środków organizacyjnych i technicznych ochrony danych osobowych, opisany w
art. 24 RODO.
Projektując dokumentację należy pamiętać, że przepisy RODO nie wymagają, aby
dokument zawierający wymienione elementy miał określoną nazwę czy strukturę. Ważne
jest, aby wykazać, że posiada się wspomniane rejestry i raporty oraz, że ich zawartość jest
zgodna z wskazanymi wymaganiami.
Ilość opcjonalnej dokumentacji, która może pomóc w wykazaniu rozliczalności jest spora,
należy pamiętać jednak, że nie wszystkie dokumenty są obligatoryjne. Decyzja o
potrzebnej dokumentacji powinna przebiegać indywidualnie dla każdej organizacji,
wszystko zależy od rodzaju przetwarzanych danych oraz od skali, procesów i podstaw ich
przetwarzania. Należy pamiętać, że nie istnieje jedna „złota lista” dokumentów, która
byłaby konieczna dla wszystkich firm.
Dzięki zasadzie neutralności technologicznej przedstawionej w RODO, jako
administratorzy mamy sporą swobodę w zakresie projektowania dokumentacji oraz
procedur ochrony danych. Nie należy jednak zapominać, że prowadzenie dokumentacji
jest obowiązkiem każdej organizacji oraz najlepszym i najprostszym sposobem wywiązania
się z zasady rozliczalności. Kluczowym jest pamiętanie, że brak wymaganej dokumentacji
może skutkować odpowiedzialnością karno-administracyjną, a co za tym idzie, karą
pieniężną, której górna wysokość to 20 000 000 euro.
Ważnym aspektem wdrożenia RODO, jest zadbanie by dokumentacja wprowadzona do
organizacji nie była tylko stertą wydrukowanych dokumentów. Dokumentacja powinna
być stale aktualizowana i stosowana w praktyce, jednak nie tylko ona jest kluczowa aby
cały proces przebiegł sprawnie. Dokumentacja powinna iść w parze ze stosowaniem
przepisów ochrony danych omówionych w tym poradniku, przede wszystkim z
realizowaniem praw podmiotów danych osobowych, spełnianiem obowiązku
informacyjnego oraz wprowadzenia takich środków organizacyjnych i technicznych, by
przetwarzanie danych osobowych w organizacji obarczone było jak najmniejszym
ryzykiem naruszenia danych osobowych.
Jak wdrożyć RODO? Opis przykładowej dokumentacji RODO
Analiza ryzyka
Dokument, do wglądu PUODO w razie kontroli. Opisuje czynności przetwarzania, ich
podatności, ryzyka, wpływ na prawa i wolności osób fizycznych, wdrożone środki
organizacyjno-techniczne oraz określone zostało prawdopodobieństwo naruszenia, które
jest niskie. Świadczy, też że ADO stosuje podeście oparte na ryzyku w stosunku do
przetwarzania danych.
Analiza ryzyka powinna być wykonana dla każdej czynności przetwarzania w organizacji administratora.
Polityka prywatności
Dokument powinien znaleźć się na stronie internetowej – jest to spełnienie obowiązku informacyjnego (art.13 RODO) względem klientów. Dokument określa: kto jest administratorem, jakie dane ADO przetwarza, jak i w jakim celu, na jakiej podstawie, kto jest odbiorcom, jakie prawa
przysługują podmiotom, których dane dotyczą oraz w jaki sposób mogą je realizować. Polityka prywatności zawiera również przykładową politykę plików cookies.
Klauzula informacyjna (dla klientów)
Dokument do wglądu dla klientów w siedzibie administratora – analogicznie do
polityki prywatności jest to spełnienie obowiązku informacyjnego (art.13 RODO)
względem klientów. Dokument określa: kto jest administratorem, jakie dane ADO
przetwarza, jak i w jakim celu, na jakiej podstawie, kto jest odbiorcom, jakie prawa
przysługują podmiotom, których dane dotyczą oraz w jaki sposób mogą je realizować.
Klauzula informacyjna (dla pracowników)
Dokument informujący pracowników, o przetwarzaniu ich danych – jest to konieczne by
spełnić obowiązek informacyjny, określony w art. 13 RODO. Administrator powinien przesłać pracownikom do zapoznania się z nim – zatrudnionym na umowę o pracę, zlecenie oraz b2b. Dokument powinien być przekazywany każdorazowo w przypadku podpisania umowy z nowym
pracownikiem.
Zgoda na wykorzystanie wizerunku
Zgoda na przetwarzanie wizerunku osób fizycznych – np. W celu udostępnienia zdjęć
pracowników/klientów na social media.
Upoważnienie do przetwarzania danych osobowych
Obowiązek nadawania upoważnień pracownikom wywodzi się zasady rozliczalności.
Dzięki udzielanie upoważnień do przetwarzania danych swoim pracownikom administrator
wykazuje i zachowuje kontrole nad tym jak i przez kogo przetwarzane są dane.
Dokument, który powinien być podpisany przez wszystkich pracowników, którzy
przetwarzają dane osobowe. Należy w nim określić zbiór danych do którego pracownik
został upoważniony. Dokument zawiera również oświadczenie o poufności.
Upoważnienie do wejścia w obszar przetwarzania danych osobowych
Dokument, który powinien być podpisany przez osoby nieprzetwarzające danych, ale
przebywające w miejscu ich przetwarzania np. osoba sprzątająca biuro. Dokument zawiera
również oświadczenie o poufności.
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania – najważniejszy dokument (przekazać do wglądu
pracownikowi UODO w razie kontroli) opisuje czynności przetwarzania, ich cel, zakres, charakter, podstawy prawne oraz zawiera ogólny opis wdrożonych środków organizacyjno-technicznych, które
zostały wdrożone w celu ochrony danych.
Umowa powierzenia przetwarzania danych
Umowa powierzenia przetwarzania danych osobowych powinna być podpisania przez każdego procesora (podmiotu przetwarzającego), czyli firmy zewnętrznej świadczącej usługi (przewarzającej dane w celu wyznaczonym przez ADO). W umowie należy wpisać zbiór danych powierzany przez ADO oraz określić rodzaj, cel i charakter powierzonego przetwarzania. Dokument powinien również zawierać oświadczenie o poufności.
Rejestr naruszeń ochrony danych
Rejestr naruszeń jest wymogiem PUODO. Zawiera on informacje o naruszeniach ochrony
danych w organizacji i powzięte działania. Jeśli organizacja nie stwierdziła naruszeń
danych – rejestr powinien pozostać pusty.
Pozostałe rejestry/ewidencje/wykazy
Mają one na celu wspomóc administratora w wykazaniu przestrzegania przepisów RODO zgodnie z zasadą rozliczalności. Np.: wykaz podmiotów przetwarzających dane, ewidencja osób upoważnionych do przetwarzania, wykaz udostepnień danych osobowych, rejestr udostępnień haseł do baz danych zawierających dane osobowe.
Zgody
Jeśli nie możemy oprzeć przetwarzania danych na innej podstawie, pozostaje nam zgoda.
Udokumentowana zgody pozwala nam wykazać, że osoba fizyczna zgodziła się na dany
rodzaj przetwarzania w określonym w zgodzie celu. Np. wysyłka newslettera w celach
marketingowych.
Sprawdź:
Potrzebujesz pomocy w wdrożeniu RODO? Napisz do nas, pomożemy!
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.