Wzory dokumentacji RODO w ramach szkolenia RODO w IT

Na administratorze danych ciąży obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności, w jakich do niego doszło, jego skutków oraz podjętych działań zaradczych. Przygotowany formularz uwzględnia wszystkie wymagane prawem informacje, a jego prawidłowe uzupełnianie przy każdorazowym wykryciu incydentu zapewnia organizacji zgodność z art. 33 ust. 5 RODO.

Określa jednolite zasady zabezpieczeń technicznych i organizacyjnych danych osobowych w organizacji (zgodnie z wymaganiami art. 32 RODO). Zakres przedmiotowy procedury to:

• procedura wykonywania przeglądów i konserwacji,
• monitorowanie ryzyka wystąpienia awarii systemów informatycznych,
• mechanizmy zapewniające ciągłość działania zasobów,
• ogólne zasady nadawania uprawnień w systemach informatycznych,
• nadawanie/odbieranie/modyfikacja uprawnień,
• użytkowanie sprzętu komputerowego,
• użytkowanie mobilnych nośników danych,
• zasady korzystania z poczty elektronicznej,
• zarządzanie dostępem zdalnym,
• wymagania dotyczące bezpieczeństwa urządzeń mobilnych,
• zasady telepracy,
• bezpieczeństwo fizyczne i środowiskowe,
• dobór i konfiguracja komponentów infrastruktury teleinformatycznej,
• zakup lub rozwój systemów informatycznych,
• bezpieczeństwo sieci,
• weryfikacja mechanizmów kontrolnych, badanie podatności,
• zasady zarządzania elektronicznymi kopiami danych osobowych,
• ochrona przed szkodliwym oprogramowaniem,
• procedury rozpoczęcia, zawieszenia i zakończenia pracy.

Umożliwia weryfikację kluczowych - z punktu widzenia przetwarzania danych i realizacji praw osób, których dane dotyczą - funkcjonalności wykorzystywanych przez administratora danych (podmiot przetwarzający) przy przetwarzaniu danych, takich jak chociażby możliwości gradacji uprawnień czy konfiguracji polityki haseł.

Określenie procesów przetwarzania to punkt wyjścia wdrożenia i utrzymania systemu ochrony danych osobowych w organizacji. Termin „proces przetwarzania”, choć pozornie prosty (proces jest określany jako zbiór wzajemnie powiązanych czynności przetwarzania wykorzystywany do osiągnięcia przez organizację zamierzonego celu) nastręcza bardzo wielu problemów – wychodząc naprzeciw potrzebom, stworzyliśmy listę najczęściej występujących procesów przetwarzania, spośród których administrator może wybrać te, które faktycznie funkcjonują w jego organizacji.

Podstawowy dokument systemu ochrony danych osobowych, definiujący kluczowe aspekty przetwarzania. W polityce znajdują się zapisy dot. zadań administratora danych, inspektora ochrony danych (IOD) oraz administratora systemów informatycznych. Opisane zostały również sposoby realizacji ciążących na administratorze danych obowiązków, takich jak prowadzenie rejestru czynności przetwarzania, dokonywanie sprawdzeń, upoważnianie pracowników czy podpisywanie umów powierzenia. Dokument ten opisuje również środki techniczne i organizacyjne stosowane do zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych. Polityka stanowi także centralny dokument, z którym powiązana jest cała dokumentacja ochrony danych.

Dotyczy obowiązków uwzględnienia ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default), o których mowa w art. 25 rozporządzenia. Określa ogólne warunki zastosowania obu tych zasad, pomaga określić role oraz odpowiedzialność przy ich realizacji.

Polityka ustanawia ramy dla osiągnięcia zgodności z RODO w zakresie realizacji praw osób, których dane dotyczą, w tym prawa do usunięcia danych, do ograniczenia przetwarzania, do sprzeciwu czy do przenoszenia danych. Określa role i odpowiedzialność za obszar związany z obsługą żądań osób fizycznych w zakresie przysługujących im praw oraz opisuje proces ich realizacji. Załącznikami do dokumentu są:

• szablon klauzuli informacyjnej przy zbieraniu danych od osoby, której dane dotyczą, oraz w inny sposób niż od osoby, której dane dotyczą,
• szablon klauzuli informacyjnej przy realizacji prawa dostępu,
• formularz weryfikacji żądania usunięcia danych osobowych (prawo do bycia zapomnianym),
• szablon klauzuli informacyjnej przy realizacji prawa dostępu,
• wzory klauzul zgody na przetwarzanie danych osobowych oraz na dokonanie profilowania.
• szablon klauzuli informacyjnej przy realizacji prawa dostępu,

Dotyczy nałożonego na administratora obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA), o którym mowa w art. 35 RODO. Stanowi narzędzie z jednej strony umożliwiające identyfikację procesów przetwarzania, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych i tym samym wymagają DPIA, a z drugiej: wskazujące krok po kroku, jak DPIA przeprowadzić oraz jak określić role i odpowiedzialność za jej wykonanie.

Zestawienie/ewidencja wykrytych w organizacji naruszeń ochrony danych osobowych. RODO nakazuje administratorom dokumentowanie incydentów związanych z przetwarzaniem danych, w tym okoliczności naruszenia, jego skutków i podjętych działań zaradczych, co docelowo ma umożliwić organowi nadzorczemu weryfikację, czy administrator zgłasza stwierdzone naruszenia zgodnie z art. 33 RODO.

Ewidencja uwzględnia takie kategorie jak m.in. sposób wykonywania backupu, jego częstotliwość, okres i miejsce przechowywania kopii zapasowych – te kluczowe informacje, przypisane do konkretnego systemu/aplikacji przy jednoczesnym określeniu typu danych i rodzaju backupu pozwolą na sprawowanie bieżącej kontroli nad procedurą tworzenia kopii zapasowych w organizacji.

Wewnątrz organizacji do przetwarzania danych powinny być dopuszczone jedynie osoby posiadające stosowne upoważnienie. Zakres upoważnienia do przetwarzania danych osobowych powinien bezwzględnie być dostosowany do potrzeb związanych z wykonywaniem obowiązków na danym stanowisku – zgodnie z zasadą minimalizacji danych.

W parze z upoważnieniem do przetwarzania danych najczęściej idzie nadanie stosownych uprawnień do systemu informatycznego. Przygotowany przez nas wniosek w sposób przejrzysty określa dane wnioskodawcy (w tym jego stanowisko i komórkę organizacyjną), użytkownika, którego uprawnienia mają zostać nadane/zmodyfikowane/odebrane, opis zakresu uprawnień do systemu informatycznego oraz listę modułów w ramach każdego z systemów, a wszystko to w formie przystępnego i łatwego do wypełnienia formularza.

Raport zawierający ustalenia dokonane w toku analizy ryzyka i oceny skutków dla ochrony danych, zidentyfikowane poziomy ryzyk związanych z przetwarzaniem danych osobowych, rekomendacje, a także plan postępowania z ryzykiem.