W związku z wejściem w życie RODO przedsiębiorcy są zobowiązani do przeprowadzenia szeregu zmian w swoich organizacjach. Jedną z nich jest dostosowanie dokumentacji ochrony danych osobowych do wymogów stawianych przez ww. Rozporządzenie. Kto jeszcze tego nie dokonał, powinien się pośpieszyć, gdyż europejskie prawo dotyczące danych osobowych zacznie obowiązywać już za niespełna dwa miesiące (od 25 maja 2018 r.).

Aktualnie zakres wymaganej dokumentacji jest określony w obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) oraz przepisach wykonawczych. Dotychczasowe prawo w sposób precyzyjny wskazywało rodzaj, zakres oraz treść wymaganych dokumentów. Nadto, przy sporządzaniu dokumentacji pomocne były wytyczne Generalnego Inspektora Ochrony Danych Osobowych, publikowane między innymi na stronie internetowej GIODO.

Powyższy stan rzeczy ulega znaczącej zmianie na gruncie nowego europejskiego rozporządzenia dotyczącego danych osobowych. RODO nie określa w sposób wyczerpujący, jakie dokumenty należy posiadać oraz jaka powinna być ich treść. To administrator danych powinien dokonać analizy ryzyka związanego z przetwarzaniem danych osobowych, a następnie na tej podstawie sporządzić właściwą dokumentację. Wśród niej powinny się znaleźć:

A) dotychczas stosowane dokumenty, dostosowane do nowych wymogów, jak np. polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, ewidencja osób upoważnionych czy też upoważnienia do przetwarzania danych. Zmian będą wymagały również umowy powierzenia przetwarzania danych oraz klauzule zgody na przetwarzanie danych osobowych.

B) dokumenty, których obowiązek posiadania wynika bezpośrednio z treści Rozporządzenia. Przykładowo RODO nakłada na niektórych administratorów konieczność prowadzenia rejestru czynności przetwarzania danych osobowych. W rejestrze zamieszcza się informacje wymienione w art. 30 Rozporządzenia, w tym w szczególności imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione.

C) zupełnie nowe dokumenty, jak procedura privacy by design i privacy by default, rejestr naruszeń ochrony danych osobowych, procedura zawiadamiania o naruszeniu ochrony danych osobowych, czy też procedura przeprowadzania oceny skutków dla ochrony danych osobowych.

Przygotowując dokumentację ochrony danych osobowych należy pamiętać o wysokich karach pieniężnych, które grożą za nieprawidłowe wdrożenie postanowień RODO. By ich uniknąć przedsiębiorcy powinni sporządzić dokumentację z najwyższą starannością, mając na uwadze wyniki przeprowadzonej w przedsiębiorstwie analizy ryzyka związanego z przetwarzaniem danych osobowych.