Wzory dokumentacji RODO

Wzory dokumentacji RODO

Każdy z uczestników warsztatów: IOD w praktyce otrzymuje wzory dokumentacji pozwalającej wykazać zgodność z RODO.

Dokumentacja została przygotowana w oparciu o zalecenia Prezesa Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/138/273) i obejmuje swoim zakresem zarówno obszar formalny, jak i procedury zarządzania infrastrukturą informatyczną.

Poniżej przedstawiamy najważniejsze dokumenty, które otrzymują uczestnicy wraz ze wskazaniem celu ich prowadzenia.

Analiza zasadności prowadzenia rejestru czynności przetwarzania

Umożliwia ocenę, czy w badanej organizacji występują okoliczności, w których prowadzenie rejestru czynności przetwarzania jest obligatoryjne. Ponadto zawiera najważniejsze wytyczne co do formy i treści rejestru.

Analiza zasadności wyznaczenia inspektora ochrony danych

Dokument ten, przy uwzględnieniu wszystkich wskazanych w art. 37 RODO okoliczności, pozwala na ocenę, czy wyznaczenie IOD w organizacji jest obligatoryjne. Oprócz analizy zasadności wyznaczenia IOD znajdują się w nim kluczowe wytyczne dot. obowiązków spoczywających na IOD oraz wymogów, jakie osoba powołana do pełnienia tej funkcji musi spełnić.

Ankieta bezpieczeństwa dla podmiotu przetwarzającego

Administrator może powierzać dane do przetwarzania wyłącznie podmiotom, które spełniają wymogi RODO (czyli zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych), przy czym to po stronie administratora danych leży obowiązek weryfikacji podmiotu przetwarzającego. Alternatywą dla uciążliwego – chyba dla obu stron - audytu jest przesłanie potencjalnemu procesorowi przygotowanego przez nas formularza, umożliwiającego rzetelną i sprawną ocenę, czy dany podmiot stosuje odpowiednie zabezpieczenia, wdrożył niezbędne rozwiązania i procedury oraz czy gwarantuje bezpieczeństwo powierzanych mu danych osobowych, a tym samym - zasługuje na nasze zaufanie.

Arkusz audytowy RODO

Stanowi gotowe narzędzie do przeprowadzenia audytu ochrony danych osobowych. Przejście przez listę kontrolną wymagań stawianych przez RODO pozwoli określić poziom zgodności organizacji z unijnymi przepisami. Na arkusz składają się 4 obszary, weryfikowane w trakcie audytu:

  1. przestrzeganie przepisów ogólnych i zasad dot. przetwarzania danych osobowych,
  2. realizacja praw osób, których dane dotyczą,
  3. status administratora danych, podmiotu przetwarzającego i inspektora ochrony danych oraz ciążące na nich obowiązki, w tym ogólne bezpieczeństwo przetwarzania, zgłaszanie naruszeń ochrony danych organowi nadzorczemu i osobie, której dane dotyczą,
  4. przekazywanie danych do państw trzecich,
Częścią arkusza jest również plan działań korygujących, które organizacja powinna podjąć w oparciu o ustalenia audytowe.

Arkusz oceny skutków dla ochrony danych (DPIA)

Formularz służący do sporządzenia analizy ryzyka i oceny skutków dla ochrony danych (DPIA) zgodnie z procedurą oraz metodyką przedstawioną podczas szkolenia i w oparciu o „Procedurę oceny skutków dla ochrony danych”.

Dokumentacja naruszenia ochrony danych osobowych

Na administratorze danych ciąży obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności, w jakich do niego doszło, jego skutków oraz podjętych działań zaradczych. Przygotowany formularz uwzględnia wszystkie wymagane prawem informacje, a jego prawidłowe uzupełnianie przy każdorazowym wykryciu incydentu zapewnia organizacji zgodność z art. 33 ust. 5 RODO.

Instrukcja zarządzania zasobami informatycznymi

Określa jednolite zasady zabezpieczeń technicznych i organizacyjnych danych osobowych w organizacji (zgodnie z wymaganiami art. 32 RODO). Zakres przedmiotowy procedury to:

Lista kontrolna podstawowych funkcjonalności systemów informatycznych

Umożliwia weryfikację kluczowych - z punktu widzenia przetwarzania danych i realizacji praw osób, których dane dotyczą - funkcjonalności wykorzystywanych przez administratora danych (podmiot przetwarzający) przy przetwarzaniu danych, takich jak chociażby możliwości gradacji uprawnień czy konfiguracji polityki haseł.

Lista przykładowych procesów przetwarzania

Określenie procesów przetwarzania to punkt wyjścia wdrożenia i utrzymania systemu ochrony danych osobowych w organizacji. Termin „proces przetwarzania”, choć pozornie prosty (proces jest określany jako zbiór wzajemnie powiązanych czynności przetwarzania wykorzystywany do osiągnięcia przez organizację zamierzonego celu) nastręcza bardzo wielu problemów – wychodząc naprzeciw potrzebom, stworzyliśmy listę najczęściej występujących procesów przetwarzania, spośród których administrator może wybrać te, które faktycznie funkcjonują w jego organizacji.

Lista uczestników audytu

A raczej harmonogram audytu ochrony danych osobowych, w oparciu o który zaplanowane mogą zostać czynności audytowe.

Notatka z oględzin

Krótki protokół z obserwacji poczynionych w trakcie realizacji audytu systemu ochrony danych osobowych.

Plan audytu RODO

Opis działań oraz ustaleń organizacyjnych związanych z audytem, w tym kryteria audytu, skład zespołu audytowego, zakres audytu oraz sposób i zakres dokumentowania czynności.

Polityka ochrony danych osobowych

Podstawowy dokument systemu ochrony danych osobowych, definiujący kluczowe aspekty przetwarzania. W polityce znajdują się zapisy dot. zadań administratora danych, inspektora ochrony danych (IOD) oraz administratora systemów informatycznych. Opisane zostały również sposoby realizacji ciążących na administratorze danych obowiązków, takich jak prowadzenie rejestru czynności przetwarzania, dokonywanie sprawdzeń, upoważnianie pracowników czy podpisywanie umów powierzenia. Dokument ten opisuje również środki techniczne i organizacyjne stosowane do zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych. Polityka stanowi także centralny dokument, z którym powiązana jest cała dokumentacja ochrony danych.

Polityka realizacji praw osób, których dane dotyczą (w tym stosowne klauzule)

Polityka ustanawia ramy dla osiągnięcia zgodności z RODO w zakresie realizacji praw osób, których dane dotyczą, w tym prawa do usunięcia danych, do ograniczenia przetwarzania, do sprzeciwu czy do przenoszenia danych. Określa role i odpowiedzialność za obszar związany z obsługą żądań osób fizycznych w zakresie przysługujących im praw oraz opisuje proces ich realizacji. Załącznikami do dokumentu są:

Procedura oceny skutków przetwarzania dla ochrony danych (DPIA)

Dotyczy nałożonego na administratora obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA), o którym mowa w art. 35 RODO. Stanowi narzędzie z jednej strony umożliwiające identyfikację procesów przetwarzania, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych i tym samym wymagają DPIA, a z drugiej: wskazujące krok po kroku, jak DPIA przeprowadzić oraz jak określić role i odpowiedzialność za jej wykonanie.

Raport z audytu RODO

Wyniki audyty i ustalenia poczynione w „Arkuszu audytowym RODO” powinny znaleźć odzwierciedlenie w raporcie z audytu. Przygotowany projekt raportu uwzględnia takie informacje jak kwestie organizacyjne dot. przeprowadzonego audytu, wykaz czynności podjętych podczas w jego trakcie, stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych oraz planowane lub podjęte działania przywracające stan zgodny z prawem.

Rejestr czynności przetwarzania (administrator danych)

Dokument, który ma pomóc administratorowi danych usystematyzować procesy przetwarzania danych w organizacji i sprawować kontrolę nad ich przebiegiem. Art. 30 RODO precyzuje, że taki rejestr powinien wskazywać m.in. cel przetwarzania, kategorie przetwarzanych danych, kategorie osób, których dane dotyczą, planowane terminy usunięcia danych oraz stosowane zabezpieczenia. Rejestr będzie musiał zostać udostępniony na każde wezwanie Prezesa Urzędu Ochrony Danych Osobowych, a nieoficjalnie mówi się o nim jako o pierwszym dokumencie, o który organ nadzorczy z pewnością poprosi, przeprowadzając kontrolę w organizacji.

Rejestr wszystkich kategorii czynności przetwarzania
(podmiot przetwarzający)

Obowiązek prowadzenia rejestru uwzględniającego procesy przetwarzania danych osobowych ciąży również na podmiotach przetwarzających – oczywiście w zakresie, w jakim dokonywane są one w imieniu i na rzecz administratora danych, o ile analiza zasadności prowadzenia rejestru (patrz wyżej) wykazała konieczność jego prowadzenia.

Rejestr incydentów ochrony danych osobowych

Zestawienie/ewidencja wykrytych w organizacji naruszeń ochrony danych osobowych. RODO nakazuje administratorom dokumentowanie incydentów związanych z przetwarzaniem danych, w tym okoliczności naruszenia, jego skutków i podjętych działań zaradczych, co docelowo ma umożliwić organowi nadzorczemu weryfikację, czy administrator zgłasza stwierdzone naruszenia zgodnie z art. 33 RODO.

Uchwała w sprawie wyznaczenia IOD

Sama analiza zasadności wyznaczenia IOD w organizacji nie zapewni administratorowi danych zgodności z wymogami RODO. Formalne wyznaczenie IOD nastąpi dopiero w momencie, w którym zostanie on powołany zgodnie z umową spółki (statutem lub innym aktem wewnętrznym), w zależności od przyjętej w takim akcie procedury - np. w formie uchwały ws. wyznaczenia IOD.

Umowa o powierzeniu przetwarzania danych osobowych

Administrator nie wszystkich operacji na danych osobowych dokonuje sam – często zleca (outsourcuje) niektóre z nich podmiotom zewnętrznym, które przetwarzają powierzone im dane w imieniu i na rzecz administratora. Takie powierzenie nie może nastąpić w sposób inny niż w oparciu o umowę o powierzeniu przetwarzania danych osobowych (lub „inny instrument prawny”), który zawiera elementy wskazane w art. 28 ust. 3 RODO, w tym przede wszystkim przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych i kategorie osób, których dane dotyczą oraz prawa i obowiązki stron umowy.

Upoważnienie do przetwarzania danych osobowych

Wewnątrz organizacji do przetwarzania danych powinny być dopuszczone jedynie osoby posiadające stosowne upoważnienie. Zakres upoważnienia do przetwarzania danych osobowych powinien bezwzględnie być dostosowany do potrzeb związanych z wykonywaniem obowiązków na danym stanowisku – zgodnie z zasadą minimalizacji danych.

Wykaz oprogramowania wspierającego wdrożenie i utrzymanie RODO

Wyniki oceny skutków dla ochrony danych (DPIA)

Raport zawierający ustalenia dokonane w toku analizy ryzyka i oceny skutków dla ochrony danych, zidentyfikowane poziomy ryzyk związanych z przetwarzaniem danych osobowych, rekomendacje, a także plan postępowania z ryzykiem.

Zapraszamy na stronę oferty warsztatów:
IOD w praktyce



RODO. Wspracie się przydaje!

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>