2019.10.07

Czy RODO nakazuje prowadzenie jakiejś dokumentacji wewnętrznej?

Zgodnie z art. 24 ust. 2 RODO, administrator powinien zdecydować, czy środki techniczne i organizacyjne, zapewniające przetwarzanie zgodne z rozporządzeniem, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. RODO nie przewiduje szczegółowych wymogów dotyczących zarówno zakresu merytorycznego, jak i formy dokumentacji ochrony danych. Pozostawia administratorowi swobodę, podkreślając jedynie, że dokumenty te służyć mogą do realizacji zasady rozliczalności.

Niezależnie od regulacji art. 24 ust. 2, w RODO wprowadzono szereg innych obowiązków dokumentacyjnych:
– prowadzenie przez administratorów rejestru czynności przetwarzania, zaś przez procesorów – rejestru kategorii przetwarzania,
– prowadzenie dokumentacji wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych,
– w niektórych przypadkach – prowadzenie dokumentacji oceny skutków dla ochrony danych,
– w niektórych przypadkach – prowadzenie dokumentacji uprzednich konsultacji z organem nadzorczym,
– w niektórych przypadkach – nadawanie pisemnych upoważnień do przetwarzania danych osobowych.