Jakie dokumenty będą wystarczające, aby realizować podstawowe obowiązki wynikające z ustawy o ochronie danych i RODO, jeśli organizacja nie musi powoływać inspektora i jest zwolniona z prowadzenia rejestru czynności przetwarzania? Obecnie posiadamy upoważ
ODPOWIEDŹ
RODO nie określa szczegółowo, jak prowadzić dokumentację dotyczącą przetwarzania danych osobowych ani jakie powinna ona mieć elementy. Jednak, aby wykazać zgodność z przepisami, organizacja powinna udokumentować swoje działania w czterech kluczowych obszarach:
- Wdrożenie polityk i procedur – obejmuje to m.in. politykę ochrony danych i procedury związane z przetwarzaniem danych osobowych.
- Prowadzenie rejestrów i ewidencji – takich jak Rejestr Czynności Przetwarzania Danych (RCPD), Rejestr Kategorii Czynności Przetwarzania oraz Rejestr Naruszeń.
- Regularne analizy zgodności – w tym ocena skutków dla ochrony danych (DPIA) i analiza ryzyka, które pomagają monitorować i minimalizować zagrożenia związane z przetwarzaniem danych.
- Stosowanie odpowiednich klauzul i postanowień – we wszystkich dokumentach, w których zbierane są dane osobowe, takich jak umowy, formularze, polityki prywatności na stronie internetowej czy zgody na przetwarzanie danych.
Proszę się zastanowić, czy Państwa organizacja na pewno nie ma obowiązku prowadzenia Rejestru Czynności Przetwarzania. Zgodnie z art. 30 ust. 1 RODO każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. Wyjątek stanowi, że obowiązek ten nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że:
- przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- przetwarzanie nie ma charakteru sporadycznego,
- przetwarzanie obejmuje szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i czynów zabronionych.
W praktyce niemal każdy podmiot przetwarzający dane ma do czynienia z przetwarzaniem opartym na ryzyku, a jeśli zatrudnia pracowników (niezależnie od ich liczby), będzie przetwarzał dane szczególnych kategorii (np. dane dot. zwolnień lekarskich).