O jakie elementy należy uzupełnić dotychczas prowadzoną dokumentacje przetwarzania aby spełniała wymagania RODO?
Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO należy podejść elastycznie wykorzystując dotychczas prowadzona dokumentację. Oznacza to, że należy zweryfikować dotychczasowe elementy występujące nie tylko w wymaganej dokumentacji na którą składała się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, ale równie takie elementy jak ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych.
Reasumując, nową, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić dodatkowo o takie elementy jak:
rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
raport z przeprowadzonej, ogólnej analizy ryzyka;
raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
plan ciągłości działania – art. 32 ust 1 pkt b RODO;
procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
Uwaga!
Wymieniony wyżej zakres dokumentacji przetwarzania danych zgodnie z podejściem opartym na analizie ryzyka można w istotny sposób ograniczyć w przypadkach, gdzie brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania.