Dokumentacja

ochrony danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych zwane RODO nie wskazuje na konieczność posiadania dokumentacji, nie wskazuje co na taką dokumentację się powinno składać, ale z drugie strony w art. 24 ust. 1 zobowiązuje Administratora do wdrożenia odpowiednich środków technicznych i ORGANIZACYJNYCH w celu ochrony danych osobowych oraz że Administrator musi umieć wykazać, że takie środki zostały wdrożone.

Dalej w art. 24 ust. 2 RODO ustawodawca stwierdza, że środki o których mowa w ust. 1 obejmują wdrożenie przez Administratora odpowiednich polityk ochrony danych.

Zapisy te jednoznacznie wskazują na konieczność posiadania dokumentacji ochrony danych osobowych.

Na potrzeby współpracy z Klientami oraz pewnego uporządkowania firma Audit-iQ dzieli dokumentację ochrony danych osobowych na dwie części.

Część I. Dokumentacja systemowa (ramowa).

Na dokumentację systemową składają się polityki, instrukcje, metodyka zarządzania ryzykiem (obejmująca swoim zakresem ocenę skutków dla ochrony danych osobowych).

Dokumentacja systemowa stanowi fundament w oparciu o który funkcjonować będzie organizacja w związku z ochroną danych osobowych. Opisane w dokumentacji systemowej zasady określają np. sposób tworzenia haseł do systemów informatycznych, sposób zabezpieczenia danych osobowych po zakończonej pracy.

Część II. Dokumentacja robocza (bieżąca).

Na dokumentację roboczą (bieżącą) składają się w szczególności:

upoważnienia do przetwarzania danych osobowych przygotowane dla konkretnych pracowników przetwarzających dane osobowe,
zobowiązania do zachowania w poufności danych osobowych,
umowy powierzenia danych osobowych,
ocena ryzyka - o ile zachodzi taka konieczność.

Pamiętać należy, że dopiero współistnienie tych dwóch rodzajów dokumentacji pozwala w przypadku kontroli wykazać się Administratorowi dbałością o przestrzeganie przepisów związanych z ochroną danych osobowych. Jest jeszcze jeden aspekt o którym nie wolno zapominać stosowanie się do przyjętych zasad, polityk czy instrukcji jest warunkiem koniecznym ażeby potwierdzić istnienie i funkcjonowanie zasad związanych z ochroną danych osobowych w konkretnej organizacji.

Uwzględniając różne potrzeby wynikające ze specyfiki organizacji zostały przygotowane trzy modele usług związanych z przygotowaniem dokumentacji ochrony danych osobowych:

Dokumentacja BASIC Dokumentacja Medium Dokumentacja PREMIUM

Dokumentacja w wersji Basic przeznaczona jest w szczególności dla osób prowadzących jednoosobową działalność gospodarczą, gdzie nie zatrudnia się pracowników.

Ilość przetwarzanych danych w ramach prowadzonej działalności gospodarczej jest niewielka, a procesy i operacje związane z przetwarzaniem danych osobowych dotyczą klientów czy też kontrahentów.

Przetwarzane dane osobowe nie należą do szczególnych kategorii danych (zdrowie, nałogi, preferencje seksualne, poglądy polityczne, przynależność do grup etnicznych).

Dane najczęściej pojawiają się w formie tradycyjnej czyli papierowej.

Opracowanie i przekazanie dokumentacji następuje w sposób zdalny. Informacje niezbędne do przygotowania dokumentacji pod kątem specyfiki firmy są pozyskiwane poprzez ankiety elektroniczne. Niejasności co do zawartości ankiet są wyjaśniane drogą elektroniczną bądź telefoniczną. Dokumentacja zwłaszcza w obszarze roboczym może wymagać-wymaga pewnego nakładu pracy ze strony Zamawiającego.

Politykę bezpieczeństwa danych osobowych z elementami polityki bezpieczeństwa fizycznego oraz zabezpieczeń informatycznych;
Instrukcję postępowania na wypadek naruszenia danych osobowych;
Metodykę zarządzania ryzykiem;
Rejestr czynności przetwarzania;
Zalecenia do wprowadzenia pod kątem bezpieczeństwa danych osobowych (w oparciu o wypełniony arkusz audytowy).

Dokumentacja w wersji MEDIUM przeznaczona jest w szczególności dla małych i średnich firm.

Czynności przetwarzania danych, operacje na danych osobowych dotyczą zatrudnianych osób, klientów czy też kontrahentów, a także prowadzonej korespondencji, szkoleń tematycznych, wyjazdów organizowanych dla zewnętrznych podmiotów itp.

Przetwarzane dane osobowe mogą należeć do szczególnych kategorii danych (zdrowie, nałogi, preferencje seksualne, poglądy polityczne, przynależność do grup etnicznych).

Dane osobowe występują w formie tradycyjnej czyli papierowej oraz są przetwarzane w systemach informatycznych.

Politykę bezpieczeństwa danych osobowych;
Instrukcję zarządzania systemami informatycznymi;
Politykę bezpieczeństwa fizycznego;
Instrukcję postępowania na wypadek naruszenia danych osobowych;
Metodykę zarządzania ryzykiem;
Instrukcję zarządzania monitoringiem (o ile dotyczy);
Rejestr czynności przetwarzania;
Zalecenia do wprowadzenia pod kątem bezpieczeństwa danych osobowych (w oparciu o wypełniony arkusz audytowy).

Dokumentacja w wersji PREMIUM przeznaczona jest dla dużych firm, gdzie zatrudnia się pracowników.

Procesy i operacje związane z przetwarzaniem danych osobowych są skomplikowane i może ich być dużo.

Przetwarzane dane osobowe mogą należeć do szczególnych kategorii danych (zdrowie, nałogi, preferencje seksualne, poglądy polityczne, przynależność do grup etnicznych).

Dane występują w formie tradycyjnej czyli papierowej oraz są przetwarzane w systemach informatycznych. Dokumentacja zostaje przygotowywana na bazie przeprowadzonego audytu ochrony danych osobowych przeprowadzonego w siedzibie Waszej firmy.

Politykę bezpieczeństwa danych osobowych
Instrukcję zarządzania systemami informatycznymi
Politykę bezpieczeństwa fizycznego
Instrukcję postępowania na wypadek naruszenia danych osobowych.
Metodykę zarządzania ryzykiem
Instrukcję zarządzania monitoringiem
Rejestr czynności przetwarzania
Raport z audytu opracowany na podstawie przeprowadzonego audytu zawierający dodatkowo zalecenia i rekomendacje dotyczące ochrony danych osobowych

Zakres dokumentacji dostarczanej w ramach świadczonych usług	BASIC	MEDIUM
Audyt - wypełnienie ankiety audytowej	x	x
Rekomendacje i zalecenia po analizie dokumentacji	x	x
Rejestr czynności przetwarzania danych osobowych (dwa procesy (czynność) przetwarzania - wskazane przez klienta do 10 operacji operacji przetwarzania danych)	x	x
Polityka bezpieczeństwa danych osobowych	x	x
wzór wykazu obszarów przetwarzania danych	x	x
wykaz obszarów przetwarzania danych osobowych		x
wzór umowy powierzenia danych osobowych	x	x
jedna przygotowana umowa powierzenia dla wskazanego przez klienta podmiotu	x	x
wzór ewidencji powierzeń danych osobowych	x	x
przygotowana-wypełniona ewidencja powierzeń danych osobowych		x
wzór klauzuli informacyjnej dla klientów	x	x
zindywidualizowana klauzula informacyjna	x	x
wzór upoważnienia do przetwarzania DO	x	x
wzór ewidencji upoważnionych do przetwarzania DO	x	x
wzór zobowiązania do zachowania poufności	x	x
Instrukcja zarządzania systemami informatycznymi		x
wzór schematu wykonywania kopii zapasowych		x
Instrukcja postępowania na wypadek naruszenia danych osobowych	x	x
wzór notatki z incydentu-naruszenia	x	x
karta szacowania poziomu naruszenia ochrony danych osobowycha	x	x
wzór ewidencji naruszeń ochrony danych	x	x
Polityka bezpieczeństwa fizycznego		x
wzór ewidencji wydanych kluczy		x
wzór dziennika wejść		x
wzór ewidencji osób - obszar szczególnie chroniony		x
Metodyka zarządzania ryzykiem	x	x
lista kontrolna ryzyk	x	x
wzór karty klasyfikacji procesów	x	x
wzór karty ryzyka	x	x
wzór rejestru ryzyk	x	x
opracowana karta ryzyka dla jednego, wskazanego obszaru		x
Instrukcja zarządzania monitoringiem (o ile dotyczy)		x
klauzula informacyjna dotycząca monitoringu		x
wzór tablicy informacyjnej o monitoringu		x
Wartość netto usługi	700 zł	1 500zł

Formularz zamówienia

Imię i nazwisko reprezentanta firmy/organizacji *

Nazwa firmy *

NIP

REGON *

Adres e-mail

Telefon

Uwagi do zapytania

* - dane obowiązkowe

Wybierz rodzaj usługi:

Wybieram usługi dodatkowe

Nazwa usługi	Cena netto	Ilość
1 x czynność (proces) przetwarzania danych osobowych	150 zł
1 x upoważnienie do przetwarzania danych osobowych	50 zł
Rejestr upoważnionych do przetwarzania danych osobowych	50 zł
1 x umowa powierzenia danych osobowych	200 zł
Rejestr umów powierzenia danych osobowych	50 zł
1 x klauzula informacyjna (np. dla pracowników)	100 zł
Instrukcja zarządzania systemami informatycznymi - dokument główny¹	200 zł
Polityka bezpieczeństwa fizycznego - dokument główny¹	200 zł
1 x karta ryzyka dla jednego, wskazanego obszaru	200 zł
Instrukcja zarządzania monitoringiem - dokument główny¹	200 zł
Szkolenie zdalne (około 2,5 h) - grupa minimum 5 osób (cena za osobę)²	250 zł
Szkolenie w siedzibie ZAMAWIAJĄCEGO3 (około 2,5 h) dla grupy pracowników (do 15 osób)	1500 zł
Papierowa wersja dokumentacji - wszystkie opracowane i uzgodnione dokumenty	200 zł

¹ – dotyczy tylko dokumentacji BASIC

² - WYKONAWCA nie odpowiada za niezależne problemy techniczne (łącze o zbyt małej przepustowości, problemy z komputerami ZAMAWIAJĄCEGO szkolenie).

³ - dojazd w jedną stronę do 50 km, ZAMAWIAJACY zapewnia parking oraz salę szkoleniową.

Suma: zł

Znam i akceptuję regulamin świadczenia usług

Akceptuję zasady powierzenia danych osobowych

Znam klauzulę informacyjną RODO

Ta witryna jest chroniona przez reCAPTCHA. Obowiązuje Polityka prywatności oraz Warunki korzystania z usług Google.

Dokumentacja

Dla czego jest potrzebna dokumentacja ochrony danych osobowych?

Co się składa na dokumentację ochrony danych osobowych?

Dla kogo jest dokumentacja BASIC?

Dokumentacja BASIC zawiera:

Dla kogo jest dokumentacja MEDIUM?

Dokumentacja MEDIUM zawiera:

Dla kogo jest dokumentacja PREMIUM?

Dokumentacja PREMIUM zawiera:

Formularz zamówienia

Usługi powiązane

Inspektor Ochrony Danych

Administrator Systemów Informatycznych

Audyt BI