Czy należy podpisać politykę ochrony danych osobowych oraz w jakiej formie ją przyjąć?
ODPOWIEDŹ
Przepisy RODO w żadnym artykule nie przewidują konieczności podpisania dokumentu, jakim jest polityka ochrony danych osobowych. Jedynie art. 24 ust. 1 RODO wskazuje na konieczność wdrożenia polityk ochrony danych przez administratora danych osobowych. Nie sprecyzowano natomiast, jakie to mają być polityki ani co muszą zawierać. Przepisy RODO pozostawiły w tym zakresie dowolność administratorom danych, w zależności od ich profilu biznesowego.
Jednak z uwagi na to, że większość administratorów danych pozostawiła w swoich podmiotach polityki bezpieczeństwa (obowiązujące pod rządami ustawy o ochronie danych osobowych z 1997 r.), które dostosowała do przepisów RODO, w mojej ocenie zasadne jest, aby taki dokument był podpisany przez administratora danych osobowych z chwilą jego wdrożenia. w przypadku spółki z o.o. w jej imieniu taki dokument powinny podpisać osoby uprawnione do reprezentacji podmiotu.
Jeśli zatem uprawniony do reprezentacji spółki z o.o. jest prezes zarządu jednoosobowo, to powinien on w imieniu spółki podpisać politykę, ze wskazaniem daty, od kiedy ona obowiązuje. Jeśli zaś chodzi o formę, w jakiej należy taką politykę wdrożyć, to w przypadku spółki może to być kolejna uchwała zarządu (najczęściej spotykana forma), ewentualnie zarządzenie, w zależności od tego, w jakiej formie spółka podejmuje decyzje.