Kategorie
Szukaj
Sklep
Kalkulatory
Obserwowane
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Kadry » Indywidualne prawo pracy » Ochrona danych osobowych » RODO 2018: Dokumentacja przetwarzania danych osobowych

RODO 2018: Dokumentacja przetwarzania danych osobowych

29 maja 2018, 12:32
Dokumenty. Fot. Fotolia
Dokumenty. Fot. Fotolia
Fotolia
Przepisy RODO nie zawierają praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że po 25 maja 2018 r. administrator danych nie jest zobligowany do posiadania żadnej dokumentacji w tym zakresie.

Dokumentacja przetwarzania danych osobowych zgodnie z RODO

Od 25 maja 2018 r. z uwagi na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych tracą moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Obecnie wszelkie wymagania w powyższym zakresie powinny być zgodne z wymaganiami określonymi w:

  1. Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO);
  2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000);
  3. Innych przepisach dziedzinowych krajowych, jak i Unii Europejskiej, jak np.:
  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
  • Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
  • Rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,
  • Inne.

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

Mając powyższe na uwadze należy zauważyć, że wyżej wymienione przepisy, w tym RODO nie zawierają praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że po 25 maja 20018 r. administratora danych nie jest zobligowany do posiadania żadnej dokumentacji w tym zakresie. RODO nie określając formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych dając tym samym dużą swobodę w tym zakresie administratorom danych.

Brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (…) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi.

1. Wymagania formalne dotyczące dokumentacji przetwarzania określone w RODO

Dalszy ciąg materiału pod wideo

W nowym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:

  • prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, aby dokument zawierający wymienione wyżej, obligatoryjne elementy dokumentacji miał określona nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry, czy raporty posiadał i aby ich zawartość była zgodna z wskazanymi wyżej wymaganiami tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Należy pamiętać jednak, że wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony.

Decydując znaczenia dla obszaru i zakresu informacji jakie powinny być zawarte w dokumentacji przetwarzania jest wymóg wykazania przez administratora przestrzegania przepisów RODO zawarty w art. 24, którego brzmienie jest następujące:

1.    Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2.    Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

3.    Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Wymaganie zawarte art. 24 RODO stanowiące, że administrator powinien być w stanie wykazać przestrzegania przepisów RODO oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury jak i zastosowane zabezpieczenia techniczne i organizacyjne, również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.

2. Jakie elementy powinna zawierać dokumentacja przetwarzania, aby spełniała wymagania RODO

Jak już wspomniano zatem, nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

a.)  stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,

b.)  zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,

c.)  zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO

d.)  zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,

e.)  zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,

f.)   zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,

g.)  stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

Podyskutuj na Forum

3. Czy dotychczas stosowana dokumentacja przetwarzania może być wykorzystana? 

Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Zobacz również:

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić dotychczas stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

- jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 4).

Należy dodatkowo pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

-        ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej

-        rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda  oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

1)      zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

2)      utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

3)      przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

4)      podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5)      bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;

6)      zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

a.)  zagrożenia bezpieczeństwa informacji,

b.)  skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,

c.)   stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

7)      zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

a.)   monitorowanie dostępu do informacji,

b.)   czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c.)   zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

8)      ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

9)      zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

10)  zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

11)  ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

12)  zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:

a.)  dbałości o aktualizację oprogramowania,

b.)  minimalizowaniu ryzyka utraty informacji w wyniku awarii,

c.)   ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d.)  stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e.)  zapewnieniu bezpieczeństwa plików systemowych,

f.)    redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g.)  niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h.)  b) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

13)   bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;

14)   zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

4. Czy dokumentacja przetwarzania zgodnie z RODO powinna zawierać Instrukcje zarządzania systemami informatycznymi

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Wymaga jednak, aby zastosowane środki bezpie­czeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami należy uwzględnić:

1)    charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2)    Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

3)    Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio również z art. 32 RODO dotyczącego bezpieczeństwa przetwarzania, który stanowi, że: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).”

Biorąc zaś pod uwagę fakt, że jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna - Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna - Technika bezpieczeństwa - Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, że wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeśli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

-        zarządzanie aktywami (przetwarzanymi zbiorami danych),

-        kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),

-        środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),

-        bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),

-        bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),

-        pozyskiwanie, rozwój i utrzymywanie systemów,

-        relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),

-        zarządzanie incydentami związanymi z bezpieczeństwem informacji,

-        zarządzanie ciągłością działania,

-        zgodność z wymaganiami prawnymi i umownymi.

Część z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Tak więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

5. O jakie elementy należy uzupełnić dotychczas prowadzoną dokumentacje przetwarzania aby spełniała wymagania RODO?

Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO należy podejść elastycznie wykorzystując dotychczas prowadzona dokumentację. Oznacza to, że należy zweryfikować dotychczasowe elementy występujące nie tylko w wymaganej dokumentacji na którą składała się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, ale równie takie elementy jak ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych.

Reasumując, nową, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić dodatkowo o takie elementy jak: 

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  • procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raport z przeprowadzonej, ogólnej analizy ryzyka;
  • raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  • procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  • plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  • procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

Uwaga!

Wymieniony wyżej zakres dokumentacji przetwarzania danych zgodnie z podejściem opartym na analizie ryzyka można w istotny sposób ograniczyć w przypadkach, gdzie brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania.

Źródło: Urząd Ochrony Danych Osobowych

Polecamy serwis: Ochrona danych osobowych

Reklama
Zaktualizuj swoją wiedzę z naszymi publikacjami i szkoleniami
Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Najnowsze
Popularne
Najstarsze
Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Uprawnienia rodzicielskie
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/10
    Ile tygodni urlopu macierzyńskiego można maksymalnie wykorzystać jeszcze przed porodem?
    nie ma takiej możliwości
    3
    6
    9 - tylko jeśli pracodawca wyrazi na to zgodę
    Następne
    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Niepełnosprawny i pies asystujący
    26 mar 2023

    Czy osoba niepełnosprawna może przebywać wraz z psem asystującym w miejscu pracy? Jak definiuje się psa asystującego? Do jakich obiektów użyteczności publicznej ma wstęp osoba niepełnosprawna wraz z psem asystującym? Czym są niezbędne racjonalne usprawnienia w miejscu pracy dla osoby niepełnosprawnej?
    Urlop na opiekę nad zwierzęciem i pies w miejscu pracy– zmiany w KP?
    25 mar 2023

    Czy do kodeksu pracy zostanie wprowadzony płatny urlop na opiekę nad zwierzęciem domowym – psem lub kotem – póki co nie wiadomo. Jednak wielbiciele pupili ucieszyli się z pomysłu Fundacji Centaurus na takie uregulowania. Miłośnicy zwierzaków podkreślają konieczność opieki nad nimi, np. kiedy zwierzę przeszło operację lub zabieg czy też w nagłych sytuacjach. Czy można więc wziąć L4 na psa? Czy pies może przebywać w miejscu pracy? Czy powstaną psie przedszkola w biurach?
    Ile wynosi renta socjalna? Zawieszony protest osób z niepełnosprawnościami
    24 mar 2023

    W piątek, 24 marca 2023 r. osoby z niepełnosprawnościami oraz ich opiekunowie opuścili Sejm RP. Protest został czasowo zawieszony ze względów zdrowotnych. Czy rząd spełni oczekiwania protestujących, czy renta socjalna będzie podwyższona do wysokości minimalnego wynagrodzenia za pracę? Według danych ZUS-u na koniec 2021 r. rentę socjalną pobierało 289,7 tyś osób.
    Nowelizacja Kodeksu pracy z podpisem prezydenta
    24 mar 2023

    Prezydent Andrzej Duda podpisał nowelizację Kodeksu pracy oraz niektórych innych ustaw - poinformowało w piątek biuro prasowe KPRP. Nowelizacja wdraża dwie unijne dyrektywy dotyczące tzw. work-life balance i tzw. dyrektywę rodzicielską.
    Niedziela Palmowa 2023. Kiedy wypada? Czy sklepy są otwarte?
    24 mar 2023

    Niedziela Palmowa 2023. Wielkanoc to ruchome święto w kalendarzu chrześcijańskim, a niedziela Palmowa przypada dokładnie na 7 dni przed. Kiedy wypada Niedziela Palmowa w 2023 roku i czy tego dnia sklepy są otwarte? 
    Czy można ujawnić wysokość wynagrodzenia pracownika?
    24 mar 2023

    Wielu zastanawia się czy pracodawca może ujawnić wynagrodzenie pracownika? Czy informacja o zarobkach jest informacją poufną i czy dane o wynagrodzeniu mieszczą się w kategorii danych osobowych? Czy wynagrodzenie pracownika jest jego dobrem osobistym?
    Szkolenia - tylko w godzinach pracy?
    24 mar 2023

    Szkolenia zgodnie z nowelizacją Kodeksu pracy tylko w godzinach pracy? Sprawdź. 
    Odprawa pieniężna a urlop wychowawczy
    24 mar 2023

    Odprawa pieniężna, tzw. odprawa ekonomiczna, kojarzona jest najczęściej ze zwolnieniami grupowymi. Może być ona również przyznana (po spełnieniu odpowiednich warunków) pracownikowi, którego objęło zwolnienie indywidualne. Czy w sytuacji, gdy zatrudniony przebywa na urlopie wychowawczym, ma prawo do tego świadczenia? Odpowiadamy.
    Polacy kupują coraz mniej
    24 mar 2023

    Sprzedaż detaliczna w cenach stałych w lutym 2023 r. była niższa niż przed rokiem o 5%. W porównaniu ze styczniem br. spadła o 3,6% - podał GUS.
    Gorsza pozycja kobiet na rynku pracy
    24 mar 2023

    W ciągu ostatnich 4 lat utrwaliła się gorsza sytuacja kobiet na rynku pracy w porównaniu z mężczyznami. Kobiety są mniej aktywne zawodowo, mniej zarabiają i często dotyka je dezaktywizacja.
    Bezrobocie stoi w miejscu
    24 mar 2023

    Stopa bezrobocia w lutym br. wyniosła 5,5 proc., wobec 5,5 proc. miesiąc wcześniej - podał GUS.
    Niedziela handlowa – kwiecień 2023
    24 mar 2023

    W kwietniu 2023 jest 5 niedziel. Czy któraś z nich to niedziela handlowa? Sprawdź!
    Dłuższy wiek emerytalny we Francji – jakie zmiany?
    23 mar 2023

    We Francji szykuje się duża reforma emerytalna. Społeczeństwo nie jest zadowolone z propozycji podwyższenia wieku emerytalnego – trwają protesty i zamieszki. Ile będzie wynosił wiek emerytalny we Francji po reformie? Czym spowodowane jest podwyższenie wieku emerytalnego?
    Okazjonalna praca zdalna – wygląda na bubel. Rząd naprawi
    24 mar 2023

    Nowelizacja Kodeksu pracy uregulowała pracę zdalną oraz ustanowiła nowość w postaci pracy zdalnej okazjonalnej. Ta druga konstrukcja budzi wątpliwości w kwestiach zasadniczych. W lutym rząd chciał rozjaśnić odpowiedzią na interpelację, a obecnie planuje naprawiać błędy „kuchennymi drzwiami” w drodze rozporządzenia.
    GUS podał dane o bezrobociu. Jaka jest sytuacja na rynku pracy?
    24 mar 2023

    GUS podał dane o poziomie bezrobocia rejestrowanego w końcu lutego 2023. Liczba zarejestrowanych bezrobotnych wyniosła 864,8 tys. osób i była o 7,2 tys. osób wyższa niż w końcu stycznia oraz o 57,0 tys. osób niższa niż przed rokiem. Dane te okazały się lepsze od naszej prognozy.
    Okazjonalna praca zdalna przy zatrudnieniu na część etatu. Co mówi prawo?
    23 mar 2023

    Zatrudniamy pracowników w niepełnym wymiarze czasu pracy. Czy w związku z tym będą im przysługiwały 24 dni okazjonalnej pracy zdalnej, czy też wymiar pracy okazjonalnej należy ustalać proporcjonalnie do ich etatu?
    „Z” jak zmiana – o tym, jak pokolenie Z odmienia rynek pracy
    23 mar 2023

    63,05 proc. Polaków w wieku 18-24 uważa, że wypłata jest dla nich najmniej istotna w pracy – wynika z raportu ADP „People at Work 2022: A Global Workforce View”. Jakie jest tak naprawdę pokolenie Z, budzące na rynku pracy tak wiele kontrowersji? Są to osoby, którym nie zależy już na etatach jak ich starszym kolegom. Wolą work-life balance od wysokich stanowisk i spokój po pracy od podwyżek.
    17 proc. Polaków zdecydowało się na podjęcie dodatkowego zatrudnienia
    23 mar 2023

    Co szósty Polak (17 proc.) podjął dodatkowe zatrudnienia, a 9 proc. respondentów zdecydowało się zmienić dotychczasową pracę na lepiej płatną - wynika z badania "Polaków Portfel Własny: czas oszczędzania". Jak dodano, 21 proc. badanych starało się o podwyżkę, 13 proc. z nich ją uzyskało.
    Zmiany w Kodeksie pracy. Cztery rodzaje dodatkowego urlopu
    23 mar 2023

    Kodeks pracy - dodatkowy urlop. Obszerna nowelizacja Kodeksu pracy uregulowała pracę zdalną oraz rozszerzyła wymiar kilku rodzajów urlopu. Niektóre z nowych regulacji mogą być nazwane „urlopem” jedynie umownie jednak również dają możliwości dodatkowych dni wolnych.
    Indywidualny Plan Działania bezrobotnego
    23 mar 2023

    Czym jest Indywidualny Plan Działania bezrobotnego lub poszukującego pracy i do czego służy? Sprawdź!
    Likwidacja kopalń w Polsce – co z górnikami?
    22 mar 2023

    W Polsce trwa proces dekarbonizacji. Kopalnie węgla kamiennego są sukcesywnie likwidowanie a tysiące górników traci prace. Kiedy koniec górnictwa w Polsce? Co z górnikami? Gdzie będą pracowali? Jaka jest przyszłość tzw. „zielonych miejsce pracy”?
    Przepisy o pracy zdalnej od 7 kwietnia. Nowe prawa i obowiązki pracodawców oraz pracowników
    22 mar 2023

    Praca zdalna - od 7 kwietnia wchodzi w życie nowelizacja Kodeksu Pracy, która ureguluje zjawisko pracy zdalnej. Popularyzacja tego modelu gwałtownie wzrosła w okresie pandemii. Nastąpiła więc konieczność określenia na drodze ustawowej praw i obowiązków pracodawców oraz pracowników.
    Pracy zdalna okazjonalna. Czy pracodawca ma prawo do kontroli?
    22 mar 2023

    Kontrola wykonywania okazjonalnej pracy zdalnej, w zakresie bezpieczeństwa i higieny pracy lub przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, będzie się odbywała na zasadach ustalonych z pracownikiem. Natomiast kontrola wykonywania pracy przez pracownika świadczącego "okazjonalną" pracę zdalną zostanie przeprowadzona na takich zasadach jak w czasie wykonywania pracy w podstawowym miejscu pracy.
    Wiosenny home office. O tym nie zapomnij!
    26 mar 2023

    Praca zdalna, mimo że wprowadzono ją na szerszą skalę z uwagi na pojawienie się pandemii, także po jej ustaniu cieszy się coraz większą popularnością. Według badania Hays ponad 50% pracodawców oferuje swoim pracownikom tzw. home office. Wykonywanie obowiązków zawodowych w domowym zaciszu wiąże się z wyższym komfortem i pewną elastycznością. Ponadto pozwala zaoszczędzić czas i pieniądze, które pracownik musiałby poświęcić na codzienne dojazdy do firmy. Wiosna to idealny moment na to, żeby przyjrzeć się swojemu domowemu stanowisku pracy. Na co warto zwrócić szczególną uwagę? Czy można zrobić coś, by uczynić je jeszcze bardziej komfortowym?
    Jak docenić pracownika? Pomogą zmiany w prawie pracy (work-life balance)
    22 mar 2023

    Dzień Doceniania Pracownika. Chociaż metod pozapłacowego wynagradzania zespołów jest dużo, to nowa dyrektywa work-life balance otwiera przed pracodawcami nowe możliwości.