Pierwsze kroki w RODO poradnikowy artykuł wraz z szablonami dokumentów. - ODO24.pl
Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Pierwsze kroki w RODO
porady i szablony dokumentów

blog-123

Nadszedł ten dzień, długo wyczekiwany 25 maja 2018 r. Rok temu – jak wynikało z badania Fundacji Wiedza To Bezpieczeństwo pt. „Co wiemy o ochronie danych” – jedynie połowa kadry zarządzającej zdawała sobie sprawę z tego jakie nowe obowiązki nakłada na ich firmy RODO. Co coś się zmieniło? Po liczbie telefonów i wiadomości jakie odbieramy w ostatnim czasie śmiem twierdzić, że niewiele. Ogrom firm przygotowuje się na ostatnią chwilę i szuka w tym zakresie wsparcia.

Poniższy tekst odwołuje się bezpośrednio do europejskiego rozporządzenia o ochronie danych osobowych (RODO). Treść rozporządzenia udostępniamy bezpłatnie w opracowaniu pt. „RODO NAWIGATOR”, które możecie Państwo znaleźć pod tym linkiem. Zawiera on praktyczną mapę aspektów wraz z linkami do łatwego nawigowania pomiędzy artykułami a preambułą i jej poszczególnymi motywami.

Obowiązek informacyjny

W ostatnich tygodniach zalewani jesteśmy mailami, w których firmy informują nas o dostosowaniu się do nowych przepisów RODO. Aktualizacji wymagają polityki prywatności, regulaminy stron internetowych, klauzule zgody... Administrator musi dokonać obowiązku informacyjnego, należy zdawać sobie sprawę, że nie jest to działanie jednorazowe. Poinformować bowiem należy klientów, których dane już przetwarzamy, jak i umożliwić zapoznanie się z informacjami na temat administratora danych osobowych przyszłych klientów.

Jakie informacje powinny znaleźć się w obowiązku informacyjnym?

Jego objętość znacznie wzrosła w stosunku do dotychczasowego kształtu. Powinien on zawierać między innymi:

  • dane administratora danych,
  • kontakt do inspektora ochrony danych (o ile został powołany),
  • cel przetwarzania,
  • podstawę prawną przetwarzania,
  • czas przez jaki dane będą przetwarzane.

Pobierz teraz: przykładowy obowiązek informacyjny.

Ważne
Klauzulę informacyjną należy udostępnić klientom do wglądu, w momencie pozyskiwania ich danych. W przypadku mikro działalności (zakład fryzjerski, szewc itp.) najlepiej będzie ją po prostu umieścić w widocznym miejscu na ladzie. Z kolei sklepy internetowe mogą ją umieścić jako link na ekranie składania zamówienia oraz dodatkowo aby dokonać należytej staranności przesłać mailowo wraz z wiadomością potwierdzającą zamówienie.

Rejestr czynności przetwarzania

Na szczęście zniknął już obowiązek rejestracji zbiorów w GIODO, pojawił się jednak obowiązek prowadzenia rejestru czynności przetwarzania. Uspokajamy, nie jest on trudny do spełnienia, wystarczy Word lub Excel, a jego wzór udostępnił GIODO. Zgodnie z RODO niemal każdy administrator danych zobowiązany będzie do prowadzenia owego rejestru. To dokument, który ma za zadanie pokazywać m. in.:

  • w jakich procesach przetwarzane są dane,
  • w jakim celu,
  • kogo dotyczą,
  • jak są zabezpieczone.

Oczywiście to tylko niektóre z informacji, jakie musi on zawierać, szczegółowy wykaz znajdziecie Państwo w art. 30 RODO.

Przykładowy rejestr czynności przetwarzania dostępny jest na stronie UODO.

Ważne
Rejestr czynności przetwarzania będzie musiał być udostępniony na każde wezwanie PUODO, a więc dobrze, żeby nie lekceważyć tego obowiązku.

Umowa powierzenia przetwarzania danych

W dzisiejszych czasach niemal każdy korzysta z usług outsourcingu – na zewnątrz przekazujemy coraz więcej w ramach np.: obsługi kadrowo płacowej, hostingu, obsługi stron www, marketingu. RODO dosyć mocno uszczegóławia to co powinna zawierać nowa umowa powierzenia danych. Mówi o tym konkretnie art. 28 RODO.

Największym wyzwaniem i nowością dla administratora danych jest obowiązek sprawdzenia swojego dostawcy. Możemy korzystać jedynie z usługodawców, którzy zapewnią odpowiednie środki techniczne i organizacyjne zabezpieczające udostępniane dane.

Jakie elementy powinna zawierać umowa powierzenia?

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorię osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego.

Kiedy należy podpisać umowę powierzenia? Każdorazowo w momencie udostępniania danych naszych pracowników, bądź klientów np. w przypadku korzystania z zewnętrznej usługi BHP, hostingu czy księgowej.

Szerzej o umowie powierzenia pisaliśmy tutaj, natomiast dodatkowe informacje o obowiązkach jakie stają przed procesorem danych można znaleźć tutaj.

Pobierz teraz: wzór umowy powierzenia zgodny z RODO.

Klauzule zgody

Zmora marketingowców ale czy tylko? Klauzule dotyczą również działu HR – zgoda na potrzeby rekrutacji obecnej i przyszłych, wysyłanie informacji handlowych drogą elektroniczną…

Sama treść klauzul nie ulegnie zmianie i nie będzie stanowić specjalnie skomplikowanego zagadnienia. Oświadczenie o wyrażeniu zgody (klauzula zgody) winno wskazywać na przetwarzanie określonych danych osobowych przez konkretnego administratora i w konkretnym celu. Większe problemy może przysporzyć zamieszczenie ich treści w już i tak rozbudowanych formularzach kontaktowych. Podejrzewać można, że większym wyzwaniem będzie wykazanie, iż dana zgoda została uzyskana zgodnie z wymogami stawianymi przez RODO. Zgoda nie jest jedyną, a jedną z kilku możliwych przesłanek, na podstawie której możemy przetwarzać dane osobowe – odsyłamy do art. 6 i 9-11 RODO.

Pobierz teraz: przykładowe klauzule zgody na gruncie RODO.

Ważne
definicja zgody zawarta jest w art. 4 ust. 11 RODO, zgodnie z którym zgoda oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

IOD – powoływać, nie powoływać?

Inspektora ochrony danych powołać muszą wszystkie organy publiczne za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Jak jest w przypadku sektora prywatnego? Motyw 97 preambuły mówi w tym kontekście o przetwarzaniu danych: systematycznym i regularnym. Ponadto wskazane zostało przetwarzanie danych na dużą skalę, jeśli przetwarzanie jest główną działalnością administratora danych. Istotnym jest również czy dochodzi do przetwarzania danych szczególnych kategorii lub danych dotyczących wyroków skazujących i czynów zabronionych. Problemem może być jednak interpretacja wyżej wskazanych pojęć. Pomocna w tym zakresie może okazać się wytyczna grupy roboczej art. 29 (WP 243) dot. inspektorów ochrony danych.

Powołanie inspektora ochrony danych nie zawsze jest obowiązkowe, można go jednak powołać również w sytuacji w której nie ma jednoznacznego wymogu, co z pewnością pozytywnie wpłynie na bezpieczeństwo przetwarzania danych oraz przyczyni się do budowania wiarygodności organizacji.

Niezależnie od faktu powołania bądź nie powołania IOD-a decyzję należy uargumentować – w tym przypadku pomogą art. 37-39 RODO.

Ważne
Co w przypadku ABI, których status zmienił się na IOD? Czynności związane z powołaniem inspektora ochrony danych należy uregulować najpóźniej do 1 września 2018 r. Szczegóły opublikowało GIODO, znajdziecie je Państwo pod tym linkiem.

 

Sprawdź również:

Akredytowany kurs IOD

Praktyczne aspekty RODO - szkolenie dla ABI, IOD, ADO

Reforma ochrony danych osobowych - bezpłatny poradnik

RODO NAWIGATOR - interaktywny tekst unijnego rozporządzenia


Przemysław Gąsiorowski
25 maja 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.