Minął przeszło rok od wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, powszechnie znanego jako RODO. Panika, która niekiedy skutkowała absurdalnym i wywołującym uśmiech na twarzy podejściem do przepisów Rozporządzenia, już za nami. Podobnie jak pierwsza, historyczna kara za niewłaściwe jego wdrożenie, nałożona przez Prezesa UODO. Pierwszy rok pokazał nam, że tak naprawdę nie ma się czego bać, o ile mamy dobrze sporządzone dokumenty dotyczące przetwarzania danych osobowych. Poniżej przedstawione zostaną obowiązkowe pozycje, jakie powinny znaleźć się w dokumentacji RODO.

  1. W pierwszej kolejności wskazać należy, że podmiotami zobowiązanym do wdrożenia procedur RODO są: podmioty przetwarzające dane osobowe w Unii Europejskiej w związku z prowadzoną przez siebie działalnością,
  2. podmioty niemające jednostek organizacyjnych w Unii Europejskiej, przetwarzające dane osobowe osób przebywających na terenie UE, w związku z prowadzoną działalnością, a przetwarzanie wiąże się z oferowaniem usług lub towarów bądź monitorowaniem zachowania osób, których dane się przetwarza.

Zgodnie z artykułem 4 pkt 1 Rozporządzenia, dane osobowe są to informacje o, zidentyfikowanej lub możliwej do zidentyfikowania, w sposób bezpośredni lub pośredni, osobie fizycznej,  w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Dokumentacja RODO może być przechowywana zarówno w formie papierowej, jak i elektronicznej. Następujące elementy muszą obowiązkowo znaleźć się w dokumentacji:

  1. Określona struktura organizacyjna w zakresie przetwarzania danych osobowych, w której obligatoryjnie należy wskazać administratora danych osobowych. W świetle przepisów RODO jest nim osoba fizyczna, prawna, jednostka organizacyjna lub inny podmiot, który wyznacza cele i sposoby przetwarzania danych osobowych.

Warto podkreślić, iż w określonych przypadkach podmiot przetwarzający jest zobowiązany wyznaczyć Inspektora Danych Osobowych. Dzieje się tak w przypadku, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Zadania IOD polegają m. in. na informowaniu osób przetwarzających dane osobowe w obrębie przedsiębiorstwa o obowiązkach spoczywających na nich na mocy przepisów RODO i monitorowaniu ich przestrzegania.

2. Ewidencja osób upoważnionych do przetwarzania danych osobowych w imieniu administratora. Takimi osobami najczęściej są pracownicy i współpracownicy, którym należy nadać upoważnienie do przetwarzania danych osobowych, czyli m. in. do zbierania, utrwalania, organizowania, porządkowania, przechowywania, adaptowania lub modyfikowania, pobierania, przeglądania, wykorzystywania, ujawniania poprzez przesłanie, rozpowszechniania lub innego rodzaju udostępniania, dopasowywania lub łączenia, ograniczania, usuwania lub niszczenia danych osobowych. Zakres czynności, jakie może dokonywać pracownik, powinien zależeć od stanowiska, które zajmuje w przedsiębiorstwie. Ponadto w upoważnieniu należy uwzględnić czas na jaki zostało ono nadane. Przykładowo, może być wskazana konkretna data albo ilość dni/tygodni/miesięcy, po upłynięciu których upoważnienie wygasa. Najbardziej praktycznym rozwiązaniem wydaje się być zaznaczenie, że upoważnienie ustaje z chwilą zakończenia stosunku prawnego między pracownikiem a administratorem.

W kolejnych artykułach przedstawione zostaną pozostałe czynności niezbędne do wdrożenia RODO.

Tekst: Aleksandra Skrzypczyńska