Ochrona danych pracowników. Zmiany 2019
RODO 2019. Plusy i minusy zmian od 4 maja
RODO Jak przygotować się do kontroliNajpierw słowem wstępu: przygotowanie lub kupienie dokumentacji zgodnej z RODO nie oznacza że są Państwo zgodni z RODO. Posiadanie dokumentacji zgodnej z RODO to tylko jeden z elementów prawidłowego wdrożenia RODO.
Na rynku pojawiają się oferty „sprzedam dokumentację zgodną z RODO”. Zawsze mam wtedy wątpliwość czy ta dokumentacja będzie adekwatna do sytuacji danego podmiotu.
reklama
reklama
Opracowanie dokumentacji zgodnej z RODO musi być poprzedzone wieloaspektową analizą i oceną ryzyka. Następnie należy wdrożyć system bezpieczeństwa danych osobowych. Ten system musi być cały czas zarządzany i udoskonalany.
Ostrzegam przed złudnym poczuciem bezpieczeństwa. Samo posiadanie dokumentacji nie wystarczy. Trzeba wdrożyć skuteczne i realnie funkcjonujące procedury. Jeżeli posiadają Państwo Polityki bezpieczeństwa i instrukcje zarządzania systemami informatycznymi itd. zgodne z obecnie obowiązującymi przepisami, to muszą Państwo posiadana dokumentację zaktualizować i uzupełnić. Jeżeli nie mają Państwo w ogóle dokumentacji w tym zakresie, muszą ja Państwo opracować.
Zobacz: Prawo administracyjne
Według mnie, w skład dokumentacji zgodnej z RODO powinny wejść:
- Polityki ochrony danych osobowych, np. Polityka bezpieczeństwa i instrukcje zarządzania systemami informatycznymi (gdzie opiszecie Państwo odpowiednie środki techniczne i organizacyjne itd.),
- Rejestr Czynności Przetwarzania Danych Osobowych (jeżeli jesteście administratorami) lub Rejestr Wszystkich Kategorii Czynności Przetwarzania Dokonywanych w Imieniu Administratora (jeżeli jesteście podmiotami przetwarzającymi),
- wzory klauzul zgód na przetwarzania danych osobowych,
- wzory klauzul informacyjnych o przetwarzanie danych oosobowych,
- wzór umowy na przetwarzanie danych osobowych lub wzór umowy o współadministrowaniu (o ile są potrzebne),
- rejestr upoważnień na przetwarzanie danych osobowych i wzór upoważnienia na przetwarzanie danych osobowych,
- procedurę w przypadku naruszenia ochrony danych osobowych i rejestr naruszeń ochrony danych osobowych,
- procedurę prostowania i usuwania danych osobowych,
- inne.
Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach
W tym miejscu muszę zastrzec, że:
- samo RODO wymaga wprost tylko posiadania Rejestrów, z pkt. 2) i dokumentowaniu wszelkich naruszeń ochrony danych osobowych. RODO mówi o odpowiednich Politykach ochrony danych. Dlatego każdy podmiot powinien posiadać adekwatną dokumentację. Ponadto będą musieli Państwo być w stanie wykazać:
- przestrzeganie zasad dotyczących przetwarzania danych osobowych,
- uzyskanie zgód,
- jakie wdrożyliście odpowiednie środki techniczne i organizacyjne,
- itd.
- Powyższa wyliczanka ma tylko charakter przykładowy. U niektórych z Państwa ilość dokumentacji RODO będzie mogła być mniejsza, a u niektórych będzie musiała być większa.
