Wyszukaj

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Dokumentacja przetwarzania danych według zaleceń PUODO
A A A  poleć artykuł   drukuj artykuł

Dokumentacja przetwarzania danych według zaleceń PUODO

Gazeta Podatkowa nr 51 (1508) z dnia 25.06.2018
Marta Stefanowicz - Wasilewska

Ani RODO, ani nowa ustawa o ochronie danych osobowych, nie zawierają szczegółowych regulacji w zakresie prowadzenia dokumentacji przetwarzania danych osobowych. Unijny ustawodawca pozostawił w tym zakresie administratorom danych pewną swobodę. Prezes Urzędu Ochrony Danych Osobowych opublikował swoje zalecenia w tym zakresie.

Jakie dokumenty są wymagane?

Motyw 78 preambuły RODO stanowi, że aby móc wykazać przestrzeganie jego przepisów, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Na łamach Gazety wskazywaliśmy, że dokumenty wdrożone na podstawie uprzednio obowiązującej ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych, po dostosowaniu ich do obowiązujących od 25 maja br. przepisów, będą mogły być z powodzeniem stosowane. Nasze stanowisko potwierdza Prezes Urzędu Ochrony Danych Osobowych, w informacji zawartej na stronie internetowej nowego urzędu: www.uodo.gov.pl.

Prezes UODO zwraca uwagę, że oprócz unijnego rozporządzenia i polskiej ustawy o ochronie danych osobowych, administratorów danych obowiązują również przepisy dotyczące konkretnych dziedzin, jak np. rozporządzenia:

  • Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
     
  • Ministra Nauki i Szkolnictwa Wyższego w sprawie dokumentacji przebiegu studiów,
     
  • Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji.

Prezes UODO zwraca uwagę, że brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych nie oznacza braku takiego obowiązku.

Dokumentowania niewątpliwie wymagają:

  • prowadzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO,
     
  • zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) - art. 33 ust. 3 RODO,
     
  • rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO,
     
  • ocena skutków dla ochrony danych - art. 35 ust. 7.

Przy czym warto zauważyć, że te podmioty, które mają obowiązek prowadzenia tych dokumentów, mogą nadać im dowolną nazwę czy wybrać dla nich dowolną strukturę. Dokumentacja ta musi natomiast zawierać elementy określone wyraźnie w przywołanych przepisach RODO.

Można dostosować dotychczasowe dokumenty

Prezes UODO informuje, że jeśli prowadzona dotychczas według obowiązujących wymagań dokumentacja zawierała konieczne elementy, takie jak inwentaryzacja zasobów informacyjnych, opis i przepływy danych między systemami czy specyfikację środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa, to w pełni można je przenieść do nowej dokumentacji. Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO, należy zweryfikować dotychczasowe dokumenty składające się na politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi, a także ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych. Nie ma również przeszkód, aby po prostu uzupełnić dotychczas stosowaną dokumentację o nowe elementy. Te nowe elementy, które pojawiły się wraz z wejściem w życie unijnej reformy przepisów dotyczących ochrony danych osobowych, to:

  • rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, o których mowa w art. 30 RODO,
     
  • procedury zgłaszania naruszeń ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych - art. 33 ust. 3 RODO,
     
  • wewnętrzny rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO,
     
  • raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych - art. 35 ust. 7 (jeżeli administrator ma obowiązek prowadzenia takiej oceny).

W związku z tym, że ochrona danych osobowych zgodna z RODO powinna opierać się na prowadzonej systematycznie analizie ryzyka, to zakres dokumentacji należy dostosować do zakresu, rodzaju i celu przetwarzanych danych osobowych. Administratorzy danych, którzy nie są obciążeni wysokim ryzykiem naruszenia zasad ochrony danych osobowych, nie przetwarzają danych osobowych na szeroką skalę, nie monitorują danych osobowych w systemach elektronicznych, nie przetwarzają danych osobowych szczególnej kategorii, np. o stanie zdrowia, mogą znacząco ograniczyć zakres prowadzonej dokumentacji.

Nowy zakres dokumentacji zalecany przez Prezesa UODO

- rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania (art. 30 RODO),
- klasyfikacja naruszeń i procedura zgłaszania naruszeń ochrony danych do organu nadzorczego (UODO) - art. 33 ust. 3 RODO,
- procedura stosowana w przypadku wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć - art. 34 RODO,
- procedura prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO,
- raport z przeprowadzonej, ogólnej analizy ryzyka,
- raport z ocen skutków dla ochrony danych - art. 35 ust. 7 - jeśli dotyczy,
- procedury związane z pseudonimizacją i szyfrowaniem - jeśli dotyczy,
- plan ciągłości działania - art. 32 ust. 1 pkt b) RODO,
- procedury odtwarzania systemu po awarii oraz ich testowania - art. 32 ust. 1 pkt c) i d) RODO.

Wskazówki dla przedsiębiorcy - czytaj także:

 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.