Aktualnie jesteś: Gazeta Podatkowa (strona główna)  »   Gazeta Podatkowa NR 32 (1489) z dn. 19.04.2018  »  Dokumentacja przetwarzania danych osobowych od maja br.

Wkrótce dodatki:

Gazeta Podatkowa
e-wydanie

Gazeta Podatkowa w formacie PDF

« poprzedni | spis treści | następny »
A A A
Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018, strona 18
dział: Wskazówki dla przedsiębiorcy
Autor: Marta Stefanowicz - Wasilewska

Dokumentacja przetwarzania danych osobowych od maja br.

Przepisy obecnie obowiązującej jeszcze ustawy o ochronie danych osobowych wyraźnie stanowią, jak powinna wyglądać dokumentacja przetwarzania danych osobowych w jednostce. Unijne rozporządzenie RODO takich regulacji nie wprowadza, pozostawiając administratorom danych swobodę w tym zakresie. Jeżeli do tej pory podmiot prawidłowo wywiązywał się z ciążących na nim obowiązków i dobrze przygotował wspomnianą dokumentację, to będzie mógł ją w pewnym stopniu wykorzystać po wejściu w życie RODO. Jakie jeszcze dokumenty warto przygotować?

Obecna dokumentacja

Ustawa o ochronie danych osobowych w art. 36 ust. 2 wyraźnie nakłada na administratora danych osobowych obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na wspomnianą dokumentację składają się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Szczegółowe regulacje w zakresie prowadzenia tej dokumentacji określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024) - patrz tabela. Oprócz tej dokumentacji obecnie istnieje obowiązek pisemnego upoważniania do przetwarzania danych osób, które w danej jednostce "pracują na danych osobowych".

Wymagania RODO

Ani RODO, ani projekt nowej polskiej ustawy o ochronie danych osobowych, nie zawierają szczegółowych regulacji w zakresie prowadzenia dokumentacji przetwarzania danych osobowych. Unijne rozporządzenie stanowi natomiast w motywie 78, że, aby móc wykazać przestrzeganie przepisów RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

W związku z tym administratorzy danych, którzy mieli wdrożoną dokumentację wymaganą przez dotychczasową ustawę o ochronie danych osobowych, mogą ją zaktualizować i dostosować do wymogów RODO. Natomiast ci, którzy takich dokumentów nie mają, muszą je stworzyć od nowa.

Polityka ochrony danych

RODO nie wspomina o nazewnictwie takiej dokumentacji. Zatem to, jaki tytuł będzie nosić, zależy od administratora danych. Można pozostać przy nazwie "polityka bezpieczeństwa", można nazwać ją "polityką ochrony danych osobowych w firmie", "zasadami przetwarzania danych" itp.

Dokument ten powinien określać przede wszystkim, jakie kategorie danych osobowych przetwarza podmiot i w jakich zbiorach się znajdują (zbiór pracowników, klientów, pacjentów, dostawców itp.), na jakich podstawach prawnych są przetwarzane. Do tego punktu trzeba dołączyć wykaz tych zbiorów danych. Polityka powinna określać zasady dopuszczania osób do przetwarzania danych osobowych i zasady nadawania im upoważnień.

Wobec tego, że ochrona danych osobowych, po wejściu w życie RODO ma być ciągłym procesem, a administrator danych będzie zobowiązany do systematycznego prowadzenia analizy ryzyka lub oceny skutków dla ochrony danych, to procedury ich przeprowadzania należy opisać w omawianym dokumencie. Do tego trzeba opracować planowane środki i zabezpieczenia, które mają zmniejszać to ryzyko, w stosunku do zdefiniowanych zagrożeń. Do tego punktu warto opracować wykaz stosowanych w jednostce zabezpieczeń.

Ponadto należy opracować szereg załączników - wzorów dokumentów, m.in. szablony pisemnych oświadczeń i klauzul poufności dla pracowników oraz imiennych upoważnień do przetwarzania danych osobowych (można nadal prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych). Jeśli podmiot powierza innym podmiotom przetwarzanie danych osobowych, trzeba stworzyć wzory takich umów powierzenia. Powinien również przeanalizować i uzupełnić lub stworzyć nowe klauzule zgód na przetwarzanie danych osobowych oraz klauzule informacyjne przekazywane osobom, których dane są przetwarzane. Oprócz tego trzeba opracować wewnętrzny regulamin ochrony danych osobowych, który należy przedstawić do przeczytania i podpisania pracownikom.

Jeżeli na mocy przepisów RODO administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania (tj. zatrudnia powyżej 250 pracowników, istnieje u niego wysokie ryzyko naruszenia praw i wolności, przetwarza dane szczególne), wówczas należy taki rejestr przygotować i odesłać do niego w polityce bezpieczeństwa.

RODO zobowiązuje administratorów danych do zgłaszania incydentów naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin. Dlatego też polityka powinna określać procedurę postępowania z takimi incydentami, reagowania na nie i minimalizowania ryzyka ich występowania. Do tego punktu warto opracować formularze zgłoszenia incydentów.

Polityka może również zawierać inne zapisy, jak np. kwestie przeprowadzania okresowych szkoleń personelu w zakresie ochrony danych osobowych, czy też wewnętrznych audytów.

Obecnie wymagana dokumentacja
Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
sposób zabezpieczenia systemu informatycznego przed działalnością wrogiego oprogramowania
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

Podstawa prawna

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.)

Rozporządzenie Parlamentu Europejskiego UE 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Najpopularniejsze w dziale „Wskazówki dla przedsiębiorcy”

Plan wprowadzenia RODO

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Klauzule informacyjne według RODO

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Profilowanie danych osobowych

Gazeta Podatkowa nr 30 (1487) z dnia 12.04.2018

Nowa instytucja pomocna dla firm - Rzecznik Małych i Średnich Przedsiębiorców

Gazeta Podatkowa nr 32 (1489) z dnia 19.04.2018

Jednorazowa amortyzacja

Gazeta Podatkowa nr 28 (1485) z dnia 5.04.2018

Zakaz handlu w niedzielę

Gazeta Podatkowa nr 28 (1485) z dnia 5.04.2018

Inspektor może nagrywać czynności kontrolne

Gazeta Podatkowa nr 26 (1483) z dnia 29.03.2018

Wystawienie rachunku do umowy o dzieło

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Zakaz handlu w niedzielę a ustalenie przeważającego PKD

Gazeta Podatkowa nr 26 (1483) z dnia 29.03.2018

Refundacja składek dla niepełnosprawnych przedsiębiorców

Gazeta Podatkowa nr 26 (1483) z dnia 29.03.2018

Żądanie zwrotu wypłaconego odszkodowania

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Zajęcie wynagrodzenia przy umowie o pracę i zlecenia

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Opłaty środowiskowe w związku z prowadzeniem stacji benzynowej

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Zakaz sprzedaży alkoholu w godzinach nocnych

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Brak informacji o wznowieniu działalności gospodarczej

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Kiedy przedsiębiorca może opłacać niższy podatek od nieruchomości?

Gazeta Podatkowa nr 30 (1487) z dnia 12.04.2018

Sprzedawca nie musi przyjąć zwrotu w sklepie stacjonarnym

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Odmowa realizacji recepty przez farmaceutę

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Pracownik na urlopie bezpłatnym w Wn-D

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Wydruk z karty też jest podstawą do reklamacji

Gazeta Podatkowa nr 28 (1485) z dnia 5.04.2018

Opłata recyklingowa pobierana w hurtowni

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Dotacja na podjęcie działalności gospodarczej a rozliczenie VAT

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Termin na podjęcie pracy

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Skutki niewykonania przedwstępnej umowy sprzedaży

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Wierzytelności w postępowaniu upadłościowym i restrukturyzacyjnym

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Środki na uruchomienie działalności również dla obywateli państw trzecich

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Zobowiązanie do usunięcia wad po odstąpieniu od umowy

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Optyk jako wytwórca wyrobu medycznego

Gazeta Podatkowa nr 32 (1489) z dnia 19.04.2018

Kiedy umowy zlecenia dla pracowników beneficjenta?

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Opodatkowanie podatkiem od nieruchomości gruntów objętych procesem rekultywacji

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018
PRZYDATNE LINKI

Portal Podatkowo-Księgowy

www.GOFIN.pl

www.Gofin.pl/PIT

www.Gofin.pl/Prawnik-Radzi

www.Gofin.pl/Rachunkowosc

www.Gofin.pl/Bilans

www.Gofin.pl/Podatki

www.Gofin.pl/Prawo-Pracy

www.Gofin.pl/Skladki-Zasilki

       
POMOCNIKI Księgowego

www.Asystent.Gofin.pl

www.Interpretacje.Gofin.pl

www.Przepisy.Gofin.pl

www.Terminy.Gofin.pl

www.Druki.Gofin.pl

www.Kalkulatory.Gofin.pl

www.PrzewodnikKadrowego.Gofin.pl

www.WideoPomocniki.Gofin.pl

www.Forum.Gofin.pl

www.Newslettery.Gofin.pl

www.PrzewodnikKsiegowego.Gofin.pl

www.Wskazniki.Gofin.pl

www.IndeksKsiegowan.Gofin.pl

www.Orzecznictwo.Gofin.pl

www.PytaniaCzytelnikow.Gofin.pl

www.WszystkoDlaKsiegowych.pl

 
       
Serwisy specjalistyczne

www.ZakladamyFirme.pl

www.VademecumKadrowego.pl

www.VademecumKsiegowego.pl

www.PoradnikKsiegowego.pl

www.EmeryturyiRenty.pl

www.SerwisBudzetowy.pl

www.PodatekDochodowy.pl

www.VademecumPodatnika.pl

www.KodeksPracy.pl

www.Czas-Pracy.pl

www.Zasilki.pl

www.UmowyCywilnoprawne.pl

www.RozliczeniaPodatkowe.pl

www.RozliczenieWynagrodzenia.pl

www.KalkulatoryPodatkowe.pl

www.PoradyPodatkowe.pl

www.RozliczenieDelegacji.pl

www.PodatekVAT.pl

www.UrlopyWychowawcze.pl

 
     
 
  szczegółowy spis treści
bieżącego numeru
pokazuj fragmenty artykułów 
Strona tytułowa
Aktualności i sygnały
O czym Czytelnik wiedzieć powinien
Rozliczamy podatek dochodowy
VAT i akcyza
Prawo pracy w praktyce
Składki ZUS
Emerytury, renty, zasiłki
Postępowanie przed fiskusem
Poradnik podatkowo-kadrowy
Rachunkowość dla każdego
Przewodnik Gazety Podatkowej
Orzecznictwo i interpretacje prawne
Spółki i wspólnicy
Wskazówki dla przedsiębiorcy
Kompleksowe opracowania podatkowo-księgowe
Firma dla początkujących
Z dyskusji na www.forum.gofin.pl
Prawnik radzi
Wskaźniki i stawki
 Dodatki
 
Sklep internetowy - sklep.gofin.pl

Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60