RODOCONSULTIG - RODO dla firm. IOD, audyty, wdrożenie, szkolenia
Jesteś tutaj: Poradnik RODO / Jaki jest obowiązek dokumentacyjny w przepisach RODO ?

Jaki jest obowiązek dokumentacyjny w przepisach RODO ?

  • Dokumentowanie naruszeń ochrony danych osobowych

Zgodnie z art. 33 ust. 5 RODO: „Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania powołanego artykułu”.

  • Obowiązki dokumentacyjne związane z obowiązkiem informacyjnym

Zgodnie z art. 12 ust. 1 RODO administrator realizuje obowiązki informacyjne.

Administrator danych powinien dysponować dokumentami potwierdzającymi, że zrealizował obowiązki informacyjne.

  • Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego

Podmiot przetwarzający (np. biuro podatkowe, IT, agencji ochrony) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Ma zastosowanie tu umowa powierzenia danych osobowych do przetwarzania.

  • Rejestrowanie czynności przetwarzania

Zgodnie z art. 30 ust. 1 RODO administrator prowadzi rejestr czynności przetwarzania zawierający elementy określone w treści wskazanego przepisu, zaś procesor odpowiednio rejestr kategorii czynności przetwarzania. Wskazane rejestry zgodnie z art. 30 ust. 3 RODO mają formę pisemną, w tym formę elektroniczną. W konsekwencji każdy zobowiązany do tego podmiot powinien takie rejestry prowadzić.

  • Ocena skutków i uprzednie konsultacje

Zgodnie z art. 35 ust. 1 RODO: „Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.

Administrator powinien być w stanie wykazać, dlaczego dla danego rodzaju przetwarzania ocena została przeprowadzona, a dla innego nie.

  • Inne obowiązki dokumentacyjne

Administrator powinien być w stanie wykazać, że realizuje każdy z obowiązków wynikających z RODO. Aby zastosować pełną listę wymaganych obowiązków, administrator powinien ją specyzować i bieżąco kontrolować wdrożenie. Dopiero wówczas będzie możliwe wykazanie zgodności z przepisami RODO.