Ochrona danych osobowych to ważny aspekt prowadzenia działalności firm, organizacji czy instytucji. Wdrożenie jej w działalność podmiotu wiąże się z koniecznością przygotowania stosownej dokumentacji, która wskazywać będzie wymagania w zakresie ochrony danych osobowych, dostosowując wskazane w prawie obowiązki do jego specyfiki działania.
Dokumentacja RODO – co to takiego
Warto mieć świadomość tego, że RODO nie definiuje w bardzo dokładny sposób, jak powinna wyglądać dokumentacja związana z ochroną danych dla danej organizacji. Nie ma wymienionych konkretnych zapisów ani dokumentów, które koniecznie powinna zawierać. Można jednak przeczytać, że dany podmiot ma obowiązek wdrożenia odpowiedniej polityki ochrony danych czy też prowadzić rejestr przetwarzania danych.
W zapisach prawnych można także zauważyć kilka niezbędnych elementów, które również w takiej dokumentacji powinny się pojawić. Są to między innymi wszelkie wytyczne związane z możliwymi naruszeniami RODO w organizacji, a także procedury przygotowane na wypadek ich wystąpienia, raport z analizy ryzyka czy plan ciągłości działania. W skrócie chodzi o to, by przygotować odpowiednią dokumentację, która opisze każdy z aspektów ochrony danych w konkretnym podmiocie oraz wykaże, w jaki sposób te procedury są wdrażane. W efekcie na dokumentację RODO w firmie mogą się składać między innymi:
- polityka danych osobowych,
- upoważnienia do przetwarzania danych,
- oświadczenia o poufności i zapoznaniu się z przepisami prawa regulującymi ochronę danych,
- umowy powierzenia przetwarzania danych,
- rejestr kategorii czynności przetwarzania danych (wspomniany powyżej),
- polityka retencji danych,
- rejestr naruszeń bezpieczeństwa danych osobowych.
Warto dodać, że nie jest to katalog zamknięty, a całość dokumentacji, jej specyfika i szczegółowość winny wynikać z działalności podmiotu, dla którego jest przygotowywana.
Kto może napisać dokumentację RODO
W internecie można znaleźć wiele gotowych wzorów na dokumentację RODO. Jest to jednak działanie dość ryzykowne. Gotowe szablony nie są dostosowane do specyfiki konkretnej firmy, instytucji czy organizacji. Może się więc okazać, że niektóre z zapisów nie mogą mieć w ogóle zastosowania, nie sprawdzą się albo nie są możliwe do realizacji. Jednocześnie łatwo w ten sposób pominąć niektóre aspekty, które akurat z punktu widzenia danego podmiotu będą niezwykle istotne. Należy pamiętać o tym, że zupełnie inne procedury powinno mieć wdrożone małe przedsiębiorstwo, zatrudniające zaledwie kilka osób, a inne będą w przypadku dużej korporacji, przez którą przewija się mnóstwo osób – zarówno pracowników, jak i klientów, którzy do skorzystania z konkretnych usług również muszą podawać swoje dane osobowe.
Spisanie dokumentacji RODO można powierzyć Inspektorowi Ochrony Danych, który został wyznaczony w firmie. Jednocześnie warto zaznaczyć, że funkcję tę można przekazać firmie zewnętrznej specjalizującej się w realizacji zadań z zakresu RODO. To rozwiązanie gwarantuje, że wdrożenie oraz prowadzenie działań związanych z ochroną danych będzie wykonane zgodnie z obowiązującym prawem. Zewnętrzny Inspektor Ochrony Danych to osoba, która specjalizuje się w zagadnieniach związanych z ochroną danych, jest na bieżąco z nowymi przepisami i ich wykładnią w tym zakresie, biegle porusza się w szczegółach i dostosowaniu RODO do specyfiki działania firmy.
Co zrobić po spisaniu dokumentacji RODO
Ważne jest, by pamiętać, że samo spisanie dokumentacji RODO nie jest zakończeniem wdrażania procedur z tym związanych. Konieczne jest zapoznanie wszystkich pracowników z wymienionymi tam zapisami. Wiele osób może odstraszać wizja przeczytania wielu dokumentów pisanych językiem prawniczym. Nie ma jednak obowiązku, aby znać te zapisy na pamięć. Ważne, by każdy je we właściwy sposób zrozumiał i się do nich stosował. Takie przedstawienie wszystkich elementów dokumentacji RODO w firmie również można powierzyć Inspektorowi Ochrony Danych.
