Jaki jest obowiązek dokumentacyjny w przepisach RODO ?
- Dokumentowanie naruszeń ochrony danych osobowych
Zgodnie z art. 33 ust. 5 RODO: „Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania powołanego artykułu”.
- Obowiązki dokumentacyjne związane z obowiązkiem informacyjnym
Zgodnie z art. 12 ust. 1 RODO administrator realizuje obowiązki informacyjne.
Administrator danych powinien dysponować dokumentami potwierdzającymi, że zrealizował obowiązki informacyjne.
- Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego
Podmiot przetwarzający (np. biuro podatkowe, IT, agencji ochrony) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Ma zastosowanie tu umowa powierzenia danych osobowych do przetwarzania.
- Rejestrowanie czynności przetwarzania
Zgodnie z art. 30 ust. 1 RODO administrator prowadzi rejestr czynności przetwarzania zawierający elementy określone w treści wskazanego przepisu, zaś procesor odpowiednio rejestr kategorii czynności przetwarzania. Wskazane rejestry zgodnie z art. 30 ust. 3 RODO mają formę pisemną, w tym formę elektroniczną. W konsekwencji każdy zobowiązany do tego podmiot powinien takie rejestry prowadzić.
- Ocena skutków i uprzednie konsultacje
Zgodnie z art. 35 ust. 1 RODO: „Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.
Administrator powinien być w stanie wykazać, dlaczego dla danego rodzaju przetwarzania ocena została przeprowadzona, a dla innego nie.
- Inne obowiązki dokumentacyjne
Administrator powinien być w stanie wykazać, że realizuje każdy z obowiązków wynikających z RODO. Aby zastosować pełną listę wymaganych obowiązków, administrator powinien ją specyzować i bieżąco kontrolować wdrożenie. Dopiero wówczas będzie możliwe wykazanie zgodności z przepisami RODO.