Jakie dokumenty powinien opracować procesor?

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 31 sierpnia 2018
dokumenty, pisma

Choć nowe przepisy RODO weszły w życie ponad 3 miesiące temu, to jednak nadal wzbudzają one wątpliwości interpretacyjne. Kontrowersje dotyczą m.in. obowiązków podmiotu przetwarzającego w zakresie dokumentacji ochrony danych osobowych. Sprawdź, jakie dokumenty musi, a jakie może przygotować procesor.

Lista obligatoryjnych dokumentów

Podmiot przetwarzający musi przygotować:

  • rejestr wszystkich kategorii czynności dokonywanych w imieniu administratora,
  • rejestr naruszeń ochrony danych osobowych,
  • umowy powierzenia przetwarzania danych osobowych
  • upoważnienia do przetwarzania danych dla swoich pracowników.
Uwaga

Obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora wynika z art. 30 ust. 2 RODO. W takim rejestrze trzeba uwzględnić:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego oraz każdego administratora, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Obowiązek dokumentowania naruszeń

Spośród ww. dokumentów warto zwrócić uwagę na rejestr naruszeń. Podobnie jak u administratora danych osobowych, jeśli w podmiocie przetwarzającym dojdzie do naruszenia ochrony danych, wówczas należy poinformować o takim naruszeniu Prezesa UODO, ale także administratora, który powierzył procesorowi dane objęte incydentem. Należy poza tym udokumentować takie naruszenie w specjalnym wykazie, który może przybrać formę rejestru naruszeń. W takim rejestrze odnotowuje się wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze (art. 33 ust. 5 RODO).

Zobowiązanie do zachowania tajemnicy

Oczywistym obowiązkiem jest upoważnienie przez procesora pracowników i innych zatrudnionych do przetwarzania danych osobowych Podmiot przetwarzający powinien przy tym zagwarantować, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 RODO). Należy więc dodatkowo odebrać od nich oświadczenia o zachowaniu tajemnicy.

W pozostałym zakresie - według oceny ADO

W pozostałym zakresie wybór dokumentacji zależy od uznania procesora. Każdy podmiot przetwarzający musi indywifualnie ocenić, jakie środki ochrony danych powinien wdrożyć, tzn. m.in. jakie inne dokumenty może przygotować, aby zapewnić bezpieczeństwo danych. RODO stanowi np., że jeżeli podmiot uzna to za stosowne i potrzebne, może opracować polityki ochrony danych (art. 24 ust. 2 RODO). Nie można przy tym zapominać o regule rozliczalności, zgodnie z którą trzeba być w stanie udowodnić wypełnianie obowiązków wynikających z RODO. Może temu służyć przygotowanie dodatkowych dokumentów, m.in.:

  • polityki bezpieczeństwa,
  • dokumentacji potwierdzającej przeprowadzenie oceny skutków dla ochrony danych,
  • instrukcji postępowania w przypadku naruszenia ochrony danych osobowych,
  • dokumentacji potwierdzającej spełnienie przez inspektora ochrony danych wymagań stawianych przez RODO,
  • raportów z działalności inspektora ochrony danych,
  • dokumentacji potwierdzającej realizację praw podmiotów danych
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel