Prowadząc przedsiębiorstwo należy mieć świadomość obowiązków wynikających z RODO, a także zadbać o przeszkolenie pracowników, w szczególności tych, którzy zajmują się przetwarzaniem danych. Przeprowadzenie audytu danych to także ważny etap wdrożenia RODO. Przedsiębiorstwo powinno dokładnie zidentyfikować, jakie dane osobowe są przetwarzane, w jakim celu, oraz jakie są mechanizmy ich ochrony.
Najważniejsze dokumenty RODO:
Analiza ryzyka.
Dokument powinien zawierać ocenę ryzyka związaną z przetwarzaniem danych osobowych, obejmująca potencjalne zagrożenia dla prywatności oraz środki zaradcze. W uproszczeniu – dokument tworzymy z wyprzedzeniem, aby określić potencjalne zagrożenia i zminimalizować ryzyko ich wystąpienia. Przykładowo jeżeli prowadzimy dokumentację w wersji cyfrowej potencjalnym ryzykiem jest atak hakerski, a w dokumencie należy określić zastosowane środki bezpieczeństwa.
Polityka bezpieczeństwa danych osobowych.
Dokument ten powinien jasno określać zasady i środki przetwarzania danych osobowych w przedsiębiorstwie, a także obowiązki Administratora Danych Osobowych (ADO).
Zgody na przetwarzanie danych osobowych i klauzula informacyjna.
Zgoda powinna być dostosowana do specyfiki firmy, a także spełniać wymogi z art. Art. 6, 12, 13 RODO, natomiast klauzula informacyjna powinna być zgodna z art. 13 RODO.
Umowa powierzenia danych osobowych wraz z klauzulą poufności.
Jeżeli firma zawiera kontrakty z firmami zewnętrznymi, przykładowo co jest dość powszechne korzysta obsługi biura rachunkowego, konieczne jest zawarcie umowy powierzenia danych osobowych, albowiem podmiot zewnętrzny przetwarza dane osobowe naszych pracowników, czy klientów.
Należy zadbać także o pisemne upoważnienia i klauzule poufności dla pracowników przetwarzających dane osobowe, a także rejestry upoważnień.
Rejestr czynności przetwarzania.
Jest to lista operacji przetwarzania danych osobowych prowadzonych w przedsiębiorstwie. Obejmuje informacje m.in. o celach przetwarzania, kategoriach danych, odbiorcach danych, a także przekazywaniu danych do państw trzecich. Prowadzenie rejestru dotyczy firm zatrudniających ponad 250 osób, a także tych, w których przetwarzanie, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego, bądź obejmuje szczególną kategorie danych osobowych wskazanych w art. 9 ust. 1 RODO. Obowiązek prowadzenia rejestru przetwarzania dotyczy przykładowo salonów kosmetycznych, które w formularzach przedzabiegowych zbierają dane wrażliwe o przebytych wcześniej chorobach. Należy również pamiętać, że do przetwarzania danych szczególnej kategorii konieczne jest uzyskanie odrębnej, pisemnej zgody osoby, której dotyczą.
Rejestr naruszeń danych osobowych.
Naruszenia ochrony danych osobowych niestety się zdarzają. Można przywołać proste przykłady: przesłanie wiadomości e-mail pod niewłaściwy adres, zgubienie nośnika danych, czy kradzież niezabezpieczonego telefonu.
A co w przypadki, jeżeli już dojdzie do naruszenia?
Przedsiębiorca jest zobligowany do prowadzenia rejestru naruszeń, a także w niektórych przypadkach niezwłocznego powiadomienia osoby, której dane dotyczą oraz organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia. Jest to obszerny temat, dlatego zainteresowanych z Państwa odsyłam na stronę UODO: https://uodo.gov.pl/525
Powyższa lista nie jest wyczerpująca, a konieczność posiadania dokumentów może się różnić w zależności od rodzaju działalności oraz skali przetwarzania danych.
Skrupulatna i odpowiedzialna ochrona danych osobowych przyczyni się nie tylko do zgodności z prawem, ale także zbuduje zaufanie klientów i partnerów biznesowych.