Poradnik Gazety Prawnej 11/18 RODO w praktyce
Kodeks pracy 2019. Praktyczny komentarz z przykładami + e-book „Zmiany w prawie pracy 2018/2019”
Zatrudnianie pracowników samorządowych. Od umowy o pracę do zwolnieniaOgólne rozporządzenie o ochronie danych kładzie bardzo duży nacisk na dokumentowanie czynności przetwarzania danych. Jest to jeden z podstawowych sposobów wykazywania przez administratorów danych zgodności prowadzonych działań na danych osobowych z wymogami rozporządzenia. Warto więc pamiętać, żeby od 25 maja 2018 r. dokumentować czynności związane z przetwarzaniem danych osobowych, w tym w szczególności:
- jakie dane posiadasz i w jakich okolicznościach je pozyskałeś
reklama
reklama
– wskaż podstawę prawną przetwarzania i w jaki sposób spełniłeś swoje obowiązki informacyjne,
- komu i kiedy udostępniasz dane,
- jak raportujesz incydenty związane z naruszeniem ochrony danych,
- czy przeprowadziłeś analizę w zakresie obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych i jakie wnioski z niej płyną,
- który organ nadzorczy będzie wiodącym dla transgranicznych operacji przetwarzania, które prowadzisz.
Zobacz również: Finanse
Rozporządzenie zresztą wprost nakłada obowiązek prowadzenia wewnętrznego rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych. Pamiętaj, że w praktyce często to inspektor ochrony danych będzie tworzył i prowadził powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji.
Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach
Pojęcie „czynności przetwarzania” nie zostało doprecyzowane w przepisach rozporządzenia. Elementy tych rejestrów są jednak bardzo podobne do elementów zgłoszenia zbioru do rejestracji oraz lokalnego zbioru danych osobowych prowadzonego obecnie przez ABI na podstawie ustawy o ochronie danych osobowych. Stąd też, że przez rejestrowanie czynności przetwarzania danych można rozumieć klasyfikowanie przetwarzanych danych ze względu m.in. na: zakres przetwarzanych danych, cele przetwarzania, kategorie osób, których dane dotyczą oraz - jeżeli jest to możliwe - środki bezpieczeństwa. Ze względu na swoją zawartość rejestry mogą być rzeczywiście pomocnym narzędziem w stosowaniu zasady rozliczalności, zapewnianiu przestrzegania rozporządzenia oraz prowadzeniu prawidłowej polityki w zakresie ochrony danych. Dlatego rejestr powinien być prowadzony w formie pisemnej, najlepiej elektronicznej.
Możliwe będzie prowadzenie również innych (np. bardziej szczegółowych) ewidencji przetwarzanych danych, jeśli wynika to z analizy ryzyka oraz konkretnych potrzeb administratora danych. Prowadzenie tych rejestrów nie zawsze będzie jednak obowiązkowe. W określonych w rozporządzeniu sytuacjach z tego obowiązku zwolnieni będą administratorzy, którzy zatrudniają mniej niż 250 pracowników.
