Wzory dokumentacji RODO w ramach szkolenia RODO w HR

Wskazana klauzula umożliwi przechowywanie danych osobowych kandydatów do pracy na potrzeby przyszłych rekrutacji.

Klauzula informacyjna umożliwiająca przekazanie kandydatowi do pracy wszystkich wymaganych przez art. 13 RODO informacji na temat procesu przetwarzania jego danych osobowych oraz przysługujących mu praw (możliwa do zastosowania w ogłoszeniu o pracę).

Klauzula informacyjna umożliwiająca przekazanie pracownikowi wszystkich wymaganych przez art. 13 RODO informacji na temat procesu przetwarzania jego danych osobowych oraz przysługujących mu praw (możliwa do zastosowania w umowie o pracę).

Kompleksowo opracowany rejestr czynności przetwarzania dla procesów „rekrutacja” i „zatrudnienie” (zawierający wszystkie elementy, o których mowa w art. 30 ust. 1 RODO), będący efektem doświadczenia zebranego podczas wdrażania RODO oraz sprawowania funkcji inspektora ochrony danych.

Kompleksowo opracowany rejestr wszystkich kategorii czynności przetwarzania dla procesów związanych z benefitami pracowniczymi, grupowym ubezpieczeniem oraz headhuntingiem (zawierający wszystkie elementy, o których mowa w art. 30 ust. 2 RODO), będący efektem doświadczenia zebranego podczas wdrażania RODO oraz sprawowania funkcji inspektora ochrony danych.

Dokument pozwalający prawidłowo określić cele, zakres oraz sposób stosowania monitoringu wizyjnego, możliwy do wprowadzenia w regulaminie pracy (alternatywnie układzie zbiorowym pracy lub w obwieszczeniu), zgodnie z treścią art. 22 2 par. 6 ustawy kodeks pracy.

Dokument potwierdzający, że pracownik został poinformowany o celach, zakresie oraz sposobie prowadzenia monitoringu wizyjnego, gotowy do przedłożenia pracownikowi oraz archiwizacji w aktach osobowych (cześć B).

Dokument sankcjonujący dostęp pracowników działu kadr do dokumentów zawierających dane osobowe szczególnej kategorii, zgodnie z art. 22 ^1b ustawy kodeks pracy.

Kompleksowa dokumentacja naruszenia ochrony danych osobowych. Pozwala prześledzić proces analizy naruszenia oraz jego zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia osób, których dane dotyczą.

Administrator może powierzać dane do przetwarzania wyłącznie podmiotom, które spełniają wymogi RODO (czyli zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych), przy czym to po stronie administratora danych leży obowiązek weryfikacji podmiotu przetwarzającego. Alternatywą dla uciążliwego – chyba dla obu stron - audytu jest przesłanie potencjalnemu procesorowi przygotowanego przez nas formularza, umożliwiającego rzetelną i sprawną ocenę, czy dany podmiot stosuje odpowiednie zabezpieczenia, wdrożył niezbędne rozwiązania i procedury oraz czy gwarantuje bezpieczeństwo powierzanych mu danych osobowych, a tym samym - zasługuje na nasze zaufanie.

Określa jednolite zasady zabezpieczeń technicznych i organizacyjnych danych osobowych w organizacji (zgodnie z wymaganiami art. 32 RODO). Zakres przedmiotowy procedury to:

• procedura wykonywania przeglądów i konserwacji,
• monitorowanie ryzyka wystąpienia awarii systemów informatycznych,
• mechanizmy zapewniające ciągłość działania zasobów,
• ogólne zasady nadawania uprawnień w systemach informatycznych,
• nadawanie/odbieranie/modyfikacja uprawnień,
• użytkowanie sprzętu komputerowego,
• użytkowanie mobilnych nośników danych,
• zasady korzystania z poczty elektronicznej,
• zarządzanie dostępem zdalnym,
• wymagania dotyczące bezpieczeństwa urządzeń mobilnych,
• zasady telepracy,
• bezpieczeństwo fizyczne i środowiskowe,
• dobór i konfiguracja komponentów infrastruktury teleinformatycznej,
• zakup lub rozwój systemów informatycznych,
• bezpieczeństwo sieci,
• weryfikacja mechanizmów kontrolnych, badanie podatności,
• zasady zarządzania elektronicznymi kopiami danych osobowych,
• ochrona przed szkodliwym oprogramowaniem,
• procedury rozpoczęcia, zawieszenia i zakończenia pracy.

Określenie procesów przetwarzania to punkt wyjścia wdrożenia i utrzymania systemu ochrony danych osobowych w organizacji. Termin „proces przetwarzania”, choć pozornie prosty (proces jest określany jako zbiór wzajemnie powiązanych czynności przetwarzania wykorzystywany do osiągnięcia przez organizację zamierzonego celu) nastręcza bardzo wielu problemów – wychodząc naprzeciw potrzebom, stworzyliśmy listę najczęściej występujących procesów przetwarzania, spośród których administrator może wybrać te, które faktycznie funkcjonują w jego organizacji.

Podstawowy dokument systemu ochrony danych osobowych, definiujący kluczowe aspekty przetwarzania. w polityce znajdują się zapisy dot. zadań administratora danych, inspektora ochrony danych (IOD) oraz administratora systemów informatycznych. Opisane zostały również sposoby realizacji ciążących na administratorze danych obowiązków, takich jak prowadzenie rejestru czynności przetwarzania, dokonywanie sprawdzeń, upoważnianie pracowników czy podpisywanie umów powierzenia. Dokument ten opisuje również środki techniczne i organizacyjne stosowane do zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych. Polityka stanowi także centralny dokument, z którym powiązana jest cała dokumentacja ochrony danych.

Dotyczy obowiązków uwzględnienia ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default), o których mowa w art. 25 rozporządzenia. Określa ogólne warunki zastosowania obu tych zasad, pomaga określić role oraz odpowiedzialność przy ich realizacji.

Polityka ustanawia ramy dla osiągnięcia zgodności z RODO w zakresie realizacji praw osób, których dane dotyczą, w tym prawa do usunięcia danych, do ograniczenia przetwarzania, do sprzeciwu czy do przenoszenia danych. Określa role i odpowiedzialność za obszar związany z obsługą żądań osób fizycznych w zakresie przysługujących im praw oraz opisuje proces ich realizacji. Załącznikami do dokumentu są:

• szablon klauzuli informacyjnej przy zbieraniu danych od osoby, której dane dotyczą, oraz w inny sposób niż od osoby, której dane dotyczą,
• szablon klauzuli informacyjnej przy realizacji prawa dostępu,
• formularz weryfikacji żądania usunięcia danych osobowych (prawo do bycia zapomnianym),
• szablon klauzuli informacyjnej przy realizacji prawa dostępu,
• wzory klauzul zgody na przetwarzanie danych osobowych oraz na dokonanie profilowania.
• szablon klauzuli informacyjnej przy realizacji prawa dostępu,

Dotykająca kluczowych zagadnień, podanych w przejrzysty i usystematyzowany sposób, przy użyciu obrazowych ilustracji prezentacja, która z powodzeniem może pomóc w zaznajomieniu pracowników przetwarzających dane z najważniejszymi zmianami i nowościami, jakie przyniosło za sobą RODO.

Zestawienie/ewidencja wykrytych w organizacji naruszeń ochrony danych osobowych. RODO nakazuje administratorom dokumentowanie incydentów związanych z przetwarzaniem danych, w tym okoliczności naruszenia, jego skutków i podjętych działań zaradczych, co docelowo ma umożliwić organowi nadzorczemu weryfikację, czy administrator zgłasza stwierdzone naruszenia zgodnie z art. 33 RODO.

Administrator nie wszystkich operacji na danych osobowych dokonuje sam – często zleca (outsourcuje) niektóre z nich podmiotom zewnętrznym, które przetwarzają powierzone im dane w imieniu i na rzecz administratora. Takie powierzenie nie może nastąpić w sposób inny niż w oparciu o umowę o powierzeniu przetwarzania danych osobowych (lub „inny instrument prawny”), który zawiera elementy wskazane w art. 28 ust. 3 RODO, w tym przede wszystkim przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych i kategorie osób, których dane dotyczą oraz prawa i obowiązki stron umowy.