WYDANIE ONLINE
Ogólne rozporządzenie o ochronie danych (RODO) zawiera definicję administratora danych osobowych, podmiotu przetwarzającego, odbiorcy danych oraz pojęcie współadministrowania. Jak zatem w praktyce odróżnić poszczególne tytuły związane z przetwarzaniem danych osobowych?
Współadministratorzy muszą ustalić pomiędzy sobą sposób wypełnienia i podział obowiązków wynikających z ogólnego rozporządzenia o ochronie danych (RODO). Sprawdź, jak to zrobić, aby uniknąć niepotrzebnych nieporozumień.
Poniżej znajdziemy wzór przykładowego porozumienia współadministratorów danych osobowych oraz informacji udostępnianej podmiotom danych
Przepisy RODO miały na celu m.in. odformalizowanie procesu przetwarzania danych osobowych. To nie oznacza jednak, że zapominamy całkowicie o prowadzeniu dokumentacji ochrony danych osobowych przez administratora. Sprawdźmy, po co jest ta dokumentacja, co powinna zawierać i jak ją zorganizować – także na przykładach.
RODO za przetwarzanie danych osobowych nakazuje także uznawać ich usuwanie. Oznacza to, że administrator danych osobowych lub procesor powinien nie tylko czuwać nad tym, w jaki sposób dane są w jego organizacji usuwane, ale także kiedy.
Także w dziedzinie danych osobowych, w tym w zakresie audytu, niektórzy administratorzy próbują zaimplementować tzw. zarządzanie procesowe. Takie procesowe podejście do zarządzania polega na uregulowaniu zagadnień w danej organizacji pod kątem funkcji przez nią wykonywanych. Chodzi tu o podział działalności organizacji na pewne zbiorcze kategorie czynności, składające się na cały proces.W zakładzie produkcyjnym mogą to być na przykład sprzedaż, marketing, produkcja i obsługa gwarancyjna.
RODO nie wymaga prowadzenia dokumentacji odnoszącej się bezpośrednio do działań audytowych z zakresu ochrony danych osobowych. Nie oznacza to jednak, że w wyniku działania audytorów nie muszą powstać żadne dokumenty. RODO przewiduje bowiem tzw. ogólną ocenę ryzyka przetwarzania danych osobowych. Chodzi tu o obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie.
Polityki bezpieczeństwa i inne, a także procedury oraz instrukcje są aktami wewnętrznymi. W procesie ich tworzenia nie ma więc konieczności przestrzegania zasad techniki prawodawczej. Nie oznacza to jednak, że nie warto. Wręcz przeciwnie. Poznaj zatem zasady techniki tworzenia polityk bezpieczeństwa i innych wewnętrznych aktów regulujących zasady ochrony danych osobowych.
Samo przygotowanie treści polityki bezpieczeństwa, procedury lub innej instrukcji dotyczącej ochrony danych osobowych zwykle nie wystarczy. Konieczne jest przyjęcie danego dokumentu, jego publikacja i wprowadzenie w życie. W przypadku organizacji, w których w przetwarzaniu danych osobowych uczestniczą inne osoby, nie obędzie się także bez szkolenia personelu. Sprawdź, jak zapewnić, aby polityka, procedura lub instrukcja były w organizacji wdrożone i przestrzegane.
