Dokumentacja
Dla czego jest potrzebna dokumentacja ochrony danych osobowych?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych zwane RODO nie wskazuje na konieczność posiadania dokumentacji, nie wskazuje co na taką dokumentację się powinno składać, ale z drugie strony w art. 24 ust. 1 zobowiązuje Administratora do wdrożenia odpowiednich środków technicznych i ORGANIZACYJNYCH w celu ochrony danych osobowych oraz że Administrator musi umieć wykazać, że takie środki zostały wdrożone.
Dalej w art. 24 ust. 2 RODO ustawodawca stwierdza, że środki o których mowa w ust. 1 obejmują wdrożenie przez Administratora odpowiednich polityk ochrony danych.
Zapisy te jednoznacznie wskazują na konieczność posiadania dokumentacji ochrony danych osobowych.
Zapisy te jednoznacznie wskazują na konieczność posiadania dokumentacji ochrony danych osobowych.
Co się składa na dokumentację ochrony danych osobowych?
Na potrzeby współpracy z Klientami oraz pewnego uporządkowania firma Audit-iQ dzieli dokumentację ochrony danych osobowych na dwie części.
Część I. Dokumentacja systemowa (ramowa).
Na dokumentację systemową składają się polityki, instrukcje, metodyka zarządzania ryzykiem (obejmująca swoim zakresem ocenę skutków dla ochrony danych osobowych).
Dokumentacja systemowa stanowi fundament w oparciu o który funkcjonować będzie organizacja w związku z ochroną danych osobowych. Opisane w dokumentacji systemowej zasady określają np. sposób tworzenia haseł do systemów informatycznych, sposób zabezpieczenia danych osobowych po zakończonej pracy.
Część II. Dokumentacja robocza (bieżąca).
Na dokumentację roboczą (bieżącą) składają się w szczególności:
- upoważnienia do przetwarzania danych osobowych przygotowane dla konkretnych pracowników przetwarzających dane osobowe,
- zobowiązania do zachowania w poufności danych osobowych,
- umowy powierzenia danych osobowych,
- ocena ryzyka - o ile zachodzi taka konieczność.
Pamiętać należy, że dopiero współistnienie tych dwóch rodzajów dokumentacji pozwala w przypadku kontroli wykazać się Administratorowi dbałością o przestrzeganie przepisów związanych z ochroną danych osobowych. Jest jeszcze jeden aspekt o którym nie wolno zapominać stosowanie się do przyjętych zasad, polityk czy instrukcji jest warunkiem koniecznym ażeby potwierdzić istnienie i funkcjonowanie zasad związanych z ochroną danych osobowych w konkretnej organizacji.
Uwzględniając różne potrzeby wynikające ze specyfiki organizacji zostały przygotowane trzy modele usług związanych z przygotowaniem dokumentacji ochrony danych osobowych:
Dla kogo jest dokumentacja BASIC?
Dokumentacja w wersji Basic przeznaczona jest w szczególności dla osób prowadzących jednoosobową działalność gospodarczą, gdzie nie zatrudnia się pracowników.
Ilość przetwarzanych danych w ramach prowadzonej działalności gospodarczej jest niewielka, a procesy i operacje związane z przetwarzaniem danych osobowych dotyczą klientów czy też kontrahentów.
Przetwarzane dane osobowe nie należą do szczególnych kategorii danych (zdrowie, nałogi, preferencje seksualne, poglądy polityczne, przynależność do grup etnicznych).
Dane najczęściej pojawiają się w formie tradycyjnej czyli papierowej.
Opracowanie i przekazanie dokumentacji następuje w sposób zdalny. Informacje niezbędne do przygotowania dokumentacji pod kątem specyfiki firmy są pozyskiwane poprzez ankiety elektroniczne. Niejasności co do zawartości ankiet są wyjaśniane drogą elektroniczną bądź telefoniczną. Dokumentacja zwłaszcza w obszarze roboczym może wymagać-wymaga pewnego nakładu pracy ze strony Zamawiającego.
Dokumentacja BASIC zawiera:
- Politykę bezpieczeństwa danych osobowych z elementami polityki bezpieczeństwa fizycznego oraz zabezpieczeń informatycznych;
- Instrukcję postępowania na wypadek naruszenia danych osobowych;
- Metodykę zarządzania ryzykiem;
- Rejestr czynności przetwarzania;
- Zalecenia do wprowadzenia pod kątem bezpieczeństwa danych osobowych (w oparciu o wypełniony arkusz audytowy).
Dla kogo jest dokumentacja MEDIUM?
Dokumentacja w wersji MEDIUM przeznaczona jest w szczególności dla małych i średnich firm.
Czynności przetwarzania danych, operacje na danych osobowych dotyczą zatrudnianych osób, klientów czy też kontrahentów, a także prowadzonej korespondencji, szkoleń tematycznych, wyjazdów organizowanych dla zewnętrznych podmiotów itp.
Przetwarzane dane osobowe mogą należeć do szczególnych kategorii danych (zdrowie, nałogi, preferencje seksualne, poglądy polityczne, przynależność do grup etnicznych).
Dane osobowe występują w formie tradycyjnej czyli papierowej oraz są przetwarzane w systemach informatycznych.
Opracowanie i przekazanie dokumentacji następuje w sposób zdalny. Informacje niezbędne do przygotowania dokumentacji pod kątem specyfiki firmy są pozyskiwane poprzez ankiety elektroniczne. Niejasności co do zawartości ankiet są wyjaśniane drogą elektroniczną bądź telefoniczną. Dokumentacja zwłaszcza w obszarze roboczym może wymagać-wymaga pewnego nakładu pracy ze strony Zamawiającego.
Dokumentacja MEDIUM zawiera:
- Politykę bezpieczeństwa danych osobowych;
- Instrukcję zarządzania systemami informatycznymi;
- Politykę bezpieczeństwa fizycznego;
- Instrukcję postępowania na wypadek naruszenia danych osobowych;
- Metodykę zarządzania ryzykiem;
- Instrukcję zarządzania monitoringiem (o ile dotyczy);
- Rejestr czynności przetwarzania;
- Zalecenia do wprowadzenia pod kątem bezpieczeństwa danych osobowych (w oparciu o wypełniony arkusz audytowy).
Dla kogo jest dokumentacja PREMIUM?
Dokumentacja w wersji PREMIUM przeznaczona jest dla dużych firm, gdzie zatrudnia się pracowników.
Procesy i operacje związane z przetwarzaniem danych osobowych są skomplikowane i może ich być dużo.
Przetwarzane dane osobowe mogą należeć do szczególnych kategorii danych (zdrowie, nałogi, preferencje seksualne, poglądy polityczne, przynależność do grup etnicznych).
Dane występują w formie tradycyjnej czyli papierowej oraz są przetwarzane w systemach informatycznych. Dokumentacja zostaje przygotowywana na bazie przeprowadzonego audytu ochrony danych osobowych przeprowadzonego w siedzibie Waszej firmy.
Dokumentacja PREMIUM zawiera:
- Politykę bezpieczeństwa danych osobowych
- Instrukcję zarządzania systemami informatycznymi
- Politykę bezpieczeństwa fizycznego
- Instrukcję postępowania na wypadek naruszenia danych osobowych.
- Metodykę zarządzania ryzykiem
- Instrukcję zarządzania monitoringiem
- Rejestr czynności przetwarzania
- Raport z audytu opracowany na podstawie przeprowadzonego audytu zawierający dodatkowo zalecenia i rekomendacje dotyczące ochrony danych osobowych
Zakres dokumentacji dostarczanej w ramach świadczonych usług | BASIC | MEDIUM |
---|---|---|
Audyt - wypełnienie ankiety audytowej | x | x |
Rekomendacje i zalecenia po analizie dokumentacji | x | x |
Rejestr czynności przetwarzania danych osobowych (dwa procesy (czynność) przetwarzania - wskazane przez klienta do 10 operacji operacji przetwarzania danych) | x | x |
Polityka bezpieczeństwa danych osobowych | x | x |
wzór wykazu obszarów przetwarzania danych | x | x |
wykaz obszarów przetwarzania danych osobowych | x | |
wzór umowy powierzenia danych osobowych | x | x |
jedna przygotowana umowa powierzenia dla wskazanego przez klienta podmiotu | x | x |
wzór ewidencji powierzeń danych osobowych | x | x |
przygotowana-wypełniona ewidencja powierzeń danych osobowych | x | |
wzór klauzuli informacyjnej dla klientów | x | x |
zindywidualizowana klauzula informacyjna | x | x |
wzór upoważnienia do przetwarzania DO | x | x |
wzór ewidencji upoważnionych do przetwarzania DO | x | x |
wzór zobowiązania do zachowania poufności | x | x |
Instrukcja zarządzania systemami informatycznymi | x | |
wzór schematu wykonywania kopii zapasowych | x | |
Instrukcja postępowania na wypadek naruszenia danych osobowych | x | x |
wzór notatki z incydentu-naruszenia | x | x |
karta szacowania poziomu naruszenia ochrony danych osobowycha | x | x |
wzór ewidencji naruszeń ochrony danych | x | x |
Polityka bezpieczeństwa fizycznego | x | |
wzór ewidencji wydanych kluczy | x | |
wzór dziennika wejść | x | |
wzór ewidencji osób - obszar szczególnie chroniony | x | |
Metodyka zarządzania ryzykiem | x | x |
lista kontrolna ryzyk | x | x |
wzór karty klasyfikacji procesów | x | x |
wzór karty ryzyka | x | x |
wzór rejestru ryzyk | x | x |
opracowana karta ryzyka dla jednego, wskazanego obszaru | x | |
Instrukcja zarządzania monitoringiem (o ile dotyczy) | x | |
klauzula informacyjna dotycząca monitoringu | x | |
wzór tablicy informacyjnej o monitoringu | x | |
Wartość netto usługi | 700 zł | 1 500zł |