Kontynuacja części I

Wdrożenie RODO nie musi być trudne. Wiele zależy od tego, czym się dany podmiot gospodarczy zajmuje i czy wypełnia wskazane przez ustawodawcę warunki. Nie można jednak zapominać o pozostałych formalnościach, które ciążą na przedsiębiorcy, który przygotowuje dokumentację RODO.

W celu wdrożenia RODO należy dopełnić szeregu czynności:

3. Wykazanie, że dane przetwarzane są zgodnie z prawem, tj. po spełnieniu co najmniej jednego z warunków określonych w art. 6 RODO, z punktu widzenia przedsiębiorcy, najważniejszymi z nich będą:

a) wyrażenie zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą,

b) przetwarzanie jest niezbędne do wykonania umowy.

Wiele zależy także od tego, czym dany podmiot gospodarczy się zajmuje, wówczas warunek ten może być wypełniony przez inne warunki określone w tym artykule. Najważniejszym jest, aby dobrze udokumentować podstawę prawną przetwarzania danych, np. w przypadku, gdy są one przetwarzane na podstawie zgody – w razie możliwości przechowywać je w dokumentacji RODO. Jeżeli przedsiębiorca gromadzi dane szczególne, którymi są pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia lub jej orientacji seksualnej, musi zostać spełniona co najmniej jedna z przesłanek określonych w art. 9 ust. 2 RODO.

Przedsiębiorca ma obowiązek poinformować osobę, której dane przetwarza, o zakresie wykorzystywania tych danych, a także o prawach, jakie mu przysługują. Znamiennym jest, że osoba wyrażająca zgodę na przetwarzanie swoich danych może ją cofnąć w dowolnym momencie. Wszystkie jej prawa określone są w art. 15-22 RODO, a przedsiębiorca, który zazwyczaj będzie administratorem danych osobowych, ma obowiązek je realizować.

 

4.  Prowadzenie rejestru czynności przetwarzania danych osobowych, w którym przepisy Rozporządzenia nakładają obowiązek zamieszczenia następujących informacji:

a) imię i nazwisko lub nazwa administratora, jego adres i dane kontaktowe,

b) kategorie osób, których dane dotyczą – np. kandydaci do pracy, pracownicy, klienci,

c) kategoria przetwarzanych danych osobowych – określić ich rodzaj (zwykłe/szczególne) oraz wymienić, jakie dane będą przetwarzane – imię, nazwisko, nr telefonu, adres e-mail itp. Zróżnicowanie przetwarzanych danych wynika z kategorii osób, których one dotyczą a także z przedsiębiorstwa,

d) cele przetwarzania – np. rekrutacyjne, kontakt z klientem w celu wykonania umowy,

e) kategorie odbiorców, którym dane zostaną ujawnione – np. firma świadcząca usługi księgowe, firma IT. Należy zaznaczyć, że nie dotyczy to wszystkich kategorii osób, których dane dotyczą. Przykładowo, dane kandydatów do pracy przetwarzane dla celów rekrutacyjnych zazwyczaj nie są nikomu przekazywane,

f) przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych – jest to kolejny, fakultatywny wymóg. W przypadku przekazywania takich danych, w dokumentacji należy uwzględnić nazwę tego państwa lub organizacji międzynarodowej oraz sposób zabezpieczenia przekazywanych danych,

g) termin usunięcia danych osobowych,

h) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa; w rubryce najwygodniej jest wpisać odesłanie do oddzielnego dokumentu dotyczącego tej materii; szerzej na ten temat znajduje się w punkcie 6. niniejszego artykułu.

 

5. Prowadzenie rejestru kategorii przetwarzania danych osobowych przez podmiot przetwarzający, którym może być wspomniana już firma świadcząca usługi księgowe czy IT. Rejestr zawiera następujące dane:

a) imię i nazwisko lub nazwa administratora,

b) imię i nazwisko lub nazwa podmiotu przetwarzającego,

c) kategorie przetwarzań – np. obsługa płacowo-kadrowa, informatyczna,

d) informacje na temat przekazania danych osobowych do państw trzecich lub organizacji międzynarodowych – analogicznie do pkt. 4. lit. f),

e) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

6. Opisanie wdrożonych środków organizacyjnych i technicznych w celu zabezpieczenia przechowywanych danych osobowych, czyli wykazanie, w jaki sposób będą przechowywane dane osobowe, w jaki sposób będą chronione przed dostępem do nich przez nieupoważnione do tego osoby.

Metody zależą od indywidualnych potrzeb i technicznych możliwości każdego przedsiębiorcy, ale przykładowo może to być zapis, że dane osobowe będą przechowywane w zamkniętych na klucz szafkach, w pomieszczeniu do którego dostęp ma tylko jedna konkretna osoba. Jeśli dane przechowywane są w formie elektronicznej, można opisać wdrożone rozwiązania zabezpieczające przed szkodliwym oprogramowaniem lub wykradnięciem danych, itp.

 

W kolejnej części przedstawione zostaną pozostałe czynności niezbędne do wdrożenia RODO.

Tekst i opracowanie: Aleksandra Skrzypczyńska