Szuflada, tak, ale stale otwarta – regularnie sprawdzaj dokumentację RODO
Zgodnie z zaleceniami UODO każdy administrator powinien regularnie sprawdzać zebraną dokumentację RODO. Dokumenty związane z ochroną danych osobowych nie należą do typu akt, które zamykamy w sejfie i wyciągamy sporadycznie. Mają być one praktyczną pomocą dla przedsiębiorcy, a więc musza odpowiadać rzeczywistej działalności przedsiębiorstwa. Procedury i polityki RODO powinny być także dostępne dla pracowników, którzy powinni mieć możliwość przypomnienia sobie ich treści w każdym momencie.
Dokumenty powinny być sprawdzane:
-najlepiej w regularnym odstępie czasowym – np. raz na rok przeprowadzony audyt RODO;
-przy każdej dokonywanej zmianie w przedsiębiorstwie, wprowadzanych nowych narzędziach na stronie, zmianach w przepisach, dojścia do incydentu naruszenia danych osobowych.
Na co zatem zwracać uwagę? Co powinien sprawdzać odpowiedzialny przedsiębiorca?Tak już zaznaczyłem – sprawdzanie poprawności posiadanych dokumentów RODO powinna obejmować wszystkie posiadane. Z drugiej strony, poprawną odpowiedzią na postawione powyżej pytania będzie – to zależy, czyli chyba ulubiona odpowiedź prawnika.Przyjrzyjmy się zatem kilku wybranym sytuacjom.
Upoważnienia dla pracowników
Prawdopodobnie prawie wszyscy pracownicy, których zatrudniasz, stykają się z przetwarzaniem danych osobowych w Twojej firmie. Zazwyczaj jednak, nie wszyscy powinni posiadać ten sam stopień dostępu – zgodnie z zasadą minimalizacji oraz ograniczenia celu powinieneś ograniczyć dostęp do tych danych, które są istotne dla danej operacji przetwarzania oraz tylko dla tych osób, dla których znajomość tych danych będzie konieczna dla osiągnięcia celu przetwarzania.
Dostęp do danych dla pracowników może się jednak zmieniać, ponieważ możesz w trakcie upływu czasu:
-zwiększyć lub zmniejszyć ich kompetencje;
-pod wpływem incydentu naruszenia danych, w którym pracownik miał udział może dojść do zredukowania jego dostępu;
-pojawiają się nowi pracownicy.
W razie zajścia incydentu naruszenia powinno się dokładnie zbadać, co było jego przyczyną- może się zdarzyć, że zabrakło odpowiednich procedur albo procedury istniejące były niewystarczające.
Umowy powierzenia danych osobowych i transfer danych do krajów trzecich
Współpracując z innymi podmiotami i firmami musisz koniecznie zawierać odpowiednie umowy powierzenia danych. Z pewnością masz przygotowany pewien wzór takiej umowy, z którego korzystasz, jednak prędzej czy później dochodzi do sytuacji, w której musisz taką umowę zaktualizować. Wchodzą nowe przepisy, zwiększają się wymagania cyberbezpieczeństwa, pojawiają się nowe wytyczne lub po prostu firma, która otrzymuje od Ciebie taką umowę zwraca się do Ciebie z licznymi pytaniami zwrotnymi. Być może zmianie uległ także model prowadzonej przez Ciebie działalności, a w umowie nie zostało to odpowiednio odzwierciedlone. Warto wtedy przyjrzeć się dokładnie czy aktualny wzór umowy nie potrzebuje zmiany.
Przy prowadzeniu handlu o wymiarze międzynarodowym, obsłudze HR-owej firm za oceanem lub innej wymianie danych z przedsiębiorstwami spoza EOG dokonuje się transferu danych osobowych do państw trzecich. Takie operacje koniecznie muszą być specjalnie zabezpieczane, przykładowo za pomocą standardowych klauzul umownych. Należy weryfikować, czy stosowane rozwiązania są w tym zakresie wystarczające i czy nie ma konieczności wprowadzenia zmian (np. w związku z przyjęciem decyzji o adekwatności).
Klauzule informacyjne
Klauzule informacyjne, czyli wszystkie dane, które administrator ma obowiązek podać zgodnie z art. 13 RODO to między innymi: kto przetwarza dane, w jakim celu, na jakiej podstawie. Informacje, które raz wyznaczone wydają się na być na pozór stałe, wcale jednak takie nie są- zmienia się bowiem Twoja firma, angażujesz się w nowe działania, a rezygnujesz z innych. Dodatkowo zmieniają się przepisy, pojawiają się nowe obowiązki, wchodzą kolejne wytyczne, co powoduje, że mogą zmienić się również Twoje cele lub podstawy przetwarzania. Przykładowo niedawno wprowadzona ustawa o sygnalistach wymusiła wprowadzenie tych nowych przepisów w znacznej większości przedsiębiorstw. Wymagała ona również zmian właśnie w klauzuli informacyjnej, ponieważ pojawił się nowy cel i nowa podstawa przetwarzania danych, o której każdy administrator musiał powiadomić.
Rejestry wniosków podmiotów danych
Chodzi tutaj o wnioski pomiotów danych, czyli osób, których dane dotyczą związane z prawem dostępu do danych (art. 15 RODO), prawem do sprostowania danych (art. 16), prawem do usunięcia danych (art. 17) czy prawem do ograniczenia przetwarzania (art. 18). Wszystkie takie wnioski oprócz tego, że oczywiście musi być na nie stosowna reakcja administratora, muszą zostać zawarte w tym rejestrze. Dokładnie tak samo jest z rejestrem naruszeń – nie każdy incydent naruszenia musimy zgłaszać, ale na każdy musimy stosownie zareagować. Musimy jednakże każdy taki incydent udokumentować, tłumacząc co się wydarzyło i dlaczego nie zdecydowaliśmy się go zgłaszać do organu nadzorczego.
Sprawdzanie i aktualizowanie powinno dotyczyć większości, jeśli nie całej dokumentacji RODO. Omawianą tu listę można by dalej ciągnąć i dodać np. przeprowadzoną w firmie analizę ryzyka czy ocenę skutków dla ochrony danych, które powinieneś regularnie powtarzać, gdyż to w dużej mierze od nich zależy, jakie środki techniczne i organizacyjne stosujesz w celu zadbania o bezpieczeństwo danych osobowych. W swojej firmie nie możesz zapominać, że dokumentacja RODO wymaga Twojego stałego zaangażowania, jeśli ma ono służyć praktyczną pomocą w skutecznym i bezpiecznym przetwarzaniu danych osobowych.
Komentarze (0)
Wysyłając komentarz akceptujesz regulamin serwisu. Zgodnie z art. 24 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych, podanie danych jest dobrowolne, Użytkownikowi przysługuje prawo dostępu do treści swoich danych i ich poprawiania. Jak to zrobić dowiesz się w zakładce polityka prywatności.