GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
17 lutego 2022

Dokumentacja konieczna dla podmiotu przetwarzającego dane osobowe

Dokumentacja konieczna dla podmiotu przetwarzającego dane osobowe

Przed  wejściem w życie RODO, polskie prawodawstwo w sposób szczegółowy wskazywało jakie dokumentację musi prowadzić podmiot przetwarzający dane osobowe.

Obecnie, RODO jak i inne przepisy dotyczące ochrony danych osobowych nie zawierają prawie żadnych wytycznych dotyczących sposobu prowadzenia dokumentacji przetwarzania danych osobowych. Rozporządzenie w dużej mierze również milczy co do samej treści dokumentacji. Sam fakt nie wskazania jakie dokumenty powinien prowadzić administrator nie powoduje, że administrator nie jest zobligowany do posiadanej jakiejkolwiek dokumentacji. RODO pozostawia sporą swobodę podmiotom, nie narzucając określonych formalnych wymagań dotyczących dokumentacji.

Co to jest przetwarzanie danych osobowych?

Administrator musi wykazać się posiadaniem dokumentacji w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi w jego organizacji rozwiązaniami technicznymi, organizacyjnymi i prawnymi.

RODO wobec niektórych obszarów nakreśla pewne wymogi formalne dotyczące dokumentowania. I tak organizacje, które przetwarzają dane osobowe są zobowiązane do:

  • Prowadzenia rejestru czynności przetwarzania przez administratora danych – obowiązek wynika z art. 30 ust. 1 RODO;
  • Prowadzenia rejestru kategorii czynności przetwarzania przez podmiot przetwarzający- obowiązek wynika z art. 30 ust. 2 RODO;
  • Zgłaszania naruszeń ochrony danych do organu nadzorczego – obowiązek wynika z art. 33 ust. 3 RODO;
  • Prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych – obowiązek wynika z art. 33 ust. 5 RODO;
  • Przygotowywania raportów dokumentujących wyniki przeprowadzonych ocen skutków dla ochrony danych – obowiązek wynika z art. 35 ust. 7 RODO.

RODO nie wymaga jednak, aby dokumenty wymienione wyżej miały określoną nazwę czy strukturę. Najważniejsza jest możliwość wykazania, że wymienione dokumenty są prowadzone przez organizację, a ich zawartość jest zgodna z wymaganiami RODO. Ponadto, nie są to jedyne informacje jakie powinny zostać uwzględnione w dokumentacji przetwarzania. Jednak wyróżniają się ponieważ RODO wskazuje zakres informacji, jaki w danym obszarze powinien się znaleźć.

Inspektor Ochrony Danych – czy warto go wyznaczyć?

Przede wszystkim art. 24 RODO wskazuje, że dokumentacja przetwarzania ma na celu przede wszystkim wykazanie, że administrator przestrzega przepisów RODO. Administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie było zgodne z przepisami oraz aby mógł wykazać, że podjął takie działania. Wszystkie podjęte środki powinny być przeglądane i uaktualniane. Jeśli administrator uzna, że prowadzone przez niego czynności przetwarzania wymagają przyjęcia odpowiednich polityk ochrony danych to powinien je wdrożyć.

Pomimo tego, że rozporządzenie nie wskazuje wprost jakie procedury i polityki administrator powinien posiadać należy pamiętać, że przepisy nakładają obowiązek wykazania zgodności z prawem realizowanych czynności przetwarzania. Administrator ma obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania;
  • zapewnia, aby dane przetwarzane były zgodnie z prawem;
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane;
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym;
  • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter, zakres, kontekst i cele przetwarzania danych;
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania;
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych.

Niezależnie czy nazwiemy naszą dokumentację polityką czy procedurą powinny one pozwalać wykazać, że nasza organizacja przetwarza dane osobowe zgodnie z RODO.

Etyczne przetwarzanie danych w systemach sztucznej inteligencji

W ramach takiej dokumentacji mogą się znaleźć takie dokumenty jak:

  • procedura zgłaszania naruszeń ochrony danych do organu nadzorczego;
  • procedura oceny i notyfikacji naruszeń ochrony danych;
  • procedura dotycząca wewnętrznego rejestru naruszeń ochrony danych osobowych;
  • procedura w zakresie tworzenia nowych procesów przetwarzania i uwzględniania domyślnej ochrony danych;
  • procedura oceny ryzyka i oceny skutków dla ochrony danych osobowych;
  • plan utrzymania zgodności oraz prowadzenia audytów wewnętrznych;
  • zasady monitorowania i audytu procedur wewnętrznych, sposobu ich realizowania;
  • procedura wyboru dostawcy przetwarzającego dane osobowe;
  • rejestr podmiotów przetwarzających.

Zadaj pytanie ekspertowi

Masz pytanie związane z  RODO i  potrzebujesz porady?

Świetnie trafiłeś! Od 18 lat zapewniamy wsparcie w zakresie ochrony danych osobowych.

Napisz do nas >>

Udostępnij publikację:

Pozostałe artykuły

Co dalej z ustawą o sygnalistach ?
Co dalej z ustawą o…
28 czerwca 2023
Analiza ryzyka a RODO – przeprowadź i nie ryzykuj!
Analiza ryzyka a RODO –…
5 kwietnia 2023
Transfer danych do państw trzecich
Transfer danych do państw trzecich
9 listopada 2022
Uprzednie konsultacje
Uprzednie konsultacje
25 października 2022
Pseudonimizacja a anonimizacja
Pseudonimizacja a anonimizacja
15 października 2022
Privacy by design i privacy by default
Privacy by design i privacy…
13 października 2022
Kodeks postępowania w RODO
Kodeks postępowania w RODO
11 października 2022
Certyfikacja RODO
Certyfikacja RODO
4 października 2022
Monitoring pracowniczy
Monitoring pracowniczy
29 września 2022
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies