Dokumentacja wymagana przez RODO

07.11.19
clock 3 min.
Damian Dziuba
Nie ma jednego zbioru dokumentów, który byłby odpowiedni dla wszystkich spółek czy działalności gospodarczych w danej branży. RODO wskazuje jedynie pewien zakres zjawisk, który będzie dotyczyć administratora, współadministratora lub podmiot przetwarzający.

Od czego zacząć przygotowanie dokumentacji?

Przede wszystkim należy wiedzieć, jaką funkcję pełni się w procesie przetwarzania danych osobowych: administratora, współadministratora czy podmiotu przetwarzającego. Dodatkowo należy znać wszystkie procesy przetwarzania danych osobowych, dopiero ta wiedza pozwoli na ocenę dokumentacji, która powinna być stosowana w danej firmie.

Jaka będzie to dokumentacja?

Dokumentację ochrony danych osobowych możemy podzielić na: wynikającą wprost z przepisów rozporządzenia, dokumentację techniczną i dowodową. Dokumentacja wymagana przepisami to realizacja obowiązków informacyjnych z art. 13 lub 14 RODO, prowadzenie rejestrów, o których mowa w art. 30 RODO (rejestr czynności przetwarzania dla administratorów danych oraz rejestr kategorii czynności prowadzony przez podmiot przetwarzający). Artykuł 33 ust. 5 RODO wskazuje konieczność prowadzenia rejestru naruszeń ochrony danych osobowych.

W dodatku zgodnie z art. 32 RODO każdy podmiot winien przeprowadzić analizę ryzyka danych osobowych, by na jej podstawie dobrać odpowiednie zabezpieczenia, zaś w przypadkach określonych w art. 35 RODO dokonać oceny skutków przetwarzania danych osobowych (zakres tych operacji został wskazany w komunikacie Prezesa Urzędu Ochrony Danych Osobowych).

Niezależnie, czy dany podmiot gospodarczy pełni funkcję administratora danych czy tzw. procesora powinien zadbać o stosowne polecenia i upoważnienia dla osób przetwarzających dane osobowe, zgodnie z zasadą poufności i integralności oraz przepisem art. 29 RODO. Nie można pominąć umów powierzenia przetwarzania danych osobowych (art. 28 RODO) oraz w niektórych sytuacjach zawarcia umowy współadministracji (art. 26 RODO). Dodatkowo prawodawca unijny wskazuje na stosowanie zbioru polityk ochrony danych osobowych (art. 24 ust. 2 RODO) oraz konieczność analizy ochrony danych na podstawie art. 25 RODO. Niektóre podmioty zostały zobowiązane do wyznaczenie inspektora ochrony danych w myśl art. 37 RODO.

Dokumentacja opisująca techniczne aspekty RODO

Owa dokumentacja to zbiór procedur postępowania w związku z oceną poziomu ryzyka danych osobowych oraz wdrożenia rozwiązań służących redukcji tego ryzyka. Procedury te to uporządkowane instrukcje, które powinny być stosowane w danej firmie i które będą odpowiednio minimalizować ryzyko wystąpienia incydentu bezpieczeństwa (na podstawie obowiązkowo przeprowadzonej analizy ryzyka). Mogą to być testy odtworzeniowe, procedura pseudonimizacji i zasad jej odwrócenia, postępowania z zewnętrznymi nośnikami danych, czystego druku, kluczy, itp.

Dokumentacja dowodowa

To dokumentacja wskazująca na pełną rozliczalność z RODO (na podstawie art. 5). Będą to m.in. dowody realizacji żądań praw osób fizycznych (np. określone w art. 19 RODO), procedury wyboru podmiotu przetwarzającego wraz z formą jego audytu, analiza konieczności wyznaczenia inspektora ochrony danych z dowodami jego niezależności, przeprowadzenia oceny skutków przetwarzania danych osobowych, analiza dotycząca zgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych (które i jakie zdarzenia będą zgłaszane, a które nie i na jakiej podstawie, można tutaj przyjąć rekomendowaną przez UODO metodologię Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji).

Niezależnie od wielkości zbiorów danych osobowych przetwarzanych przez administratora należy przyjąć, że z punktu widzenia ochrony danych osobowych najważniejsze są procesy przetwarzania, rodzaj danych, miejsce ich przetwarzania – na terenie Europy czy poza nim, to one w głównej mierze będą determinować obowiązującą dokumentację. Warto dodać, że dokumentacja RODO (procedury, polityki, ryzyko, itp.) powinna być poddawana cyklicznemu przeglądowi ze względu na fakt, że RODO jest procesem, którym każdy podmiot powinien zarządzać.