Zgodnie z regułą rozliczalności każdy administrator czy podmiot przetwarzający musi być gotowy do wykazania przestrzegania RODO. W tym może pomóc mu m.in. odpowiednia dokumentacja. Sprawdź, jakie dokumenty przygotować przed ewentualną kontrolą UODO.
|
Dokumenty wymagane wprost przez RODO |
|
|
Każda osoba dopuszczana do przetwarzania danych osobowych, powinna posiadać wydane przez administratora upoważnienie (w odpowiednim zakresie niezbędnym do realizacji zadań wyznaczonych przez ADO). |
|
|
Jeżeli organizacja przekazuje dane osobowe współpracującym przedsiębiorcom lub instytucjom bądź przetwarza dane osobowe od nich otrzymane, wówczas musi zweryfikować, czy pomiędzy nią a takimi podmiotami nie zachodzi relacja powierzenia danych. Jeżeli tak, to konieczne jest zawarcie umowy spełniającej wymogi wskazane w art. 28 RODO. |
|
|
Każda osoba, której dane osobowe są przetwarzane, powinna mieć możliwość zapoznania się z treścią klauzuli informacyjnej spełniającej wymogi z art. 13 bądź 14 RODO. W różnych okolicznościach treść klauzul może się między sobą różnić. |
|
|
Oświadczenia o zgodzie na przetwarzanie danych |
Zgoda jest tylko jedną z przesłanek przetwarzania danych osobowych i należy ją odbierać, gdy nie można wykazać innej podstawy prawnej przetwarzania. Jeżeli administrator opiera swoje prawo do korzystania z danych osobowych właśnie na tej podstawie, wówczas powinien archiwizować udzielone zgody w postaci papierowej bądź elektronicznej. |
|
Musi go prowadzić ADO. Należy do niego wpisywać wszystkie te procesy przetwarzania danych osobowych, które mają charakter ciągły, np. przetwarzanie danych osobowych pracowników na potrzeby rozliczenia ich wynagrodzeń, odprowadzenia składek na ubezpieczenie społeczne itp. Rejestr powinien być aktualizowany, gdy pojawią się nowe procesy przetwarzania (np. ADO rozpocznie gromadzenie danych osobowych na potrzeby marketingowe) bądź też się zakończą (np. zaprzestanie wydawania newslettera). Rejestru nie muszą prowadzić podmioty wskazane w art. 30 ust. 5 RODO. |
|
|
Musi go prowadzić podmiot przetwarzający. jest on zbliżony treścią do rejestru czynności przetwarzania. Rejestru nie muszą prowadzić podmioty wskazane w art. 30 ust. 5 RODO. |
|
|
Jeżeli w organizacji zaistniał incydent zakwalifikowany przez tę organizację jako naruszenie ochrony danych, wówczas należy przeprowadzić swoiste dochodzenie – zebrać informacje na temat tegoż naruszenia, osoby odpowiedzialnej i poszkodowanej. |
|
|
Dokumenty, których RODO wprost nie wymienia |
|
|
Analiza określa poziom ryzyka przy przetwarzaniu danych osobowych w poszczególnych procesach. |
|
|
Polityki i procedury dotyczące bezpieczeństwa danych |
RODO nie jest w tym zakresie nazbyt drobiazgowe, zaleca jednak ich prowadzenie, gdy może to wpłynąć na zwiększenie bezpieczeństwa danych osobowych. W polityce ochrony danych warto zatem opisać podstawowe procedury ich przetwarzania, a także obowiązki pracowników z tym związane. Dzięki temu polityka będzie stanowiła instrument ochrony danych osobowych. |
Zaprezentowane dokumenty to niezbędne minimum. Konieczne może jednak okazać się posiadanie także innej dokumentacji np. dotyczącej DPIA czy też monitoringu wizyjnego.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
