Najważniejsze dokumenty w świetle RODO
Rozporządzenie o ochronie danych osobowych wejdzie z życie już 25 maja 2018 roku. Każdy przedsiębiorca powinien więc zwrócić uwagę na dokumentację, którą będzie miał obowiązek prowadzić zgodnie z treścią nowych uregulowań zaprezentowanych przez RODO.
Do najważniejszych dokumentów, na które należy przede wszystkim poświęcić uwagę, należą:
- Rejestr czynności przetwarzania danych osobowych oraz kategorii czynności.
- Umowa powierzenia.
- Upoważnienie do przetwarzania danych osobowych.
Rejestr czynności przetwarzania danych osobowych
Rejestr czynności przetwarzania danych osobowych powinien być prowadzony w formie pisemnej, ale może mieć też postać elektroniczną. Rejestr nie powinien być ujawniany, ale podlega udostępnieniu na żądanie organu nadzorczego. Rejestr powinien zawierać m.in.:
- dane kontaktowe administratora danych osobowych,
- cel przetwarzania danych,
- opis kategorii osób, których dane dotyczą,
- opis kategorii danych osobowych, które są przetwarzane,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione.
Wzory rejestrów są dostępne na stronie www Generalnego Inspektora Ochrony Danych Osobowych: https://giodo.gov.pl/pl/1520281/10449.
Umowa powierzenia
Umowa powierzenia powinna być zawarta w formie pisemnej i zawierać następujące elementy:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorię osób, których dane dotyczą,
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego.
Upoważnienie do przetwarzania danych osobowych
Zgodnie z RODO, dostęp do danych osobowych mogą mieć wyłącznie osoby do tego upoważnione, które muszą zobowiązać się do zachowania tajemnicy z tym związanej. W związku z tym, upoważnienie powinno być sporządzone w formie pisemnej, z własnoręcznym podpisem pracownika. Nie musi jednakże stanowić odrębnego dokumentu, stosowna klauzula może być zawarta np. w umowie o pracę.
Upoważnienie powinno zawierać także m.in.:
- zobowiązanie pracownika do wykonywania obowiązków zgodnie z poleceniami administratora danych osobowych,
- określenie czasu, na jaki obowiązuje,
- wskazanie zakresu upoważnienia do przetwarzania danych osobowych.