9 dokumentów, które musisz przygotować przed kontrolą UODO
Zgodnie z regułą rozliczalności każdy administrator czy podmiot przetwarzający musi być gotowy do wykazania przestrzegania RODO. W tym może pomóc mu m.in. odpowiednia dokumentacja. Sprawdź, jakie dokumenty przygotować przed ewentualną kontrolą UODO.
|
Dokumenty wymagane wprost przez RODO |
|
|
Każda osoba dopuszczana do przetwarzania danych osobowych, powinna posiadać wydane przez administratora upoważnienie (w odpowiednim zakresie niezbędnym do realizacji zadań wyznaczonych przez ADO). |
|
|
Jeżeli organizacja przekazuje dane osobowe współpracującym przedsiębiorcom lub instytucjom bądź przetwarza dane osobowe od nich otrzymane, wówczas musi zweryfikować, czy pomiędzy nią a takimi podmiotami nie zachodzi relacja powierzenia danych. Jeżeli tak, to konieczne jest zawarcie umowy spełniającej wymogi wskazane w art. 28 RODO. |
|
|
Każda osoba, której dane osobowe są przetwarzane, powinna mieć możliwość zapoznania się z treścią klauzuli informacyjnej spełniającej wymogi z art. 13 bądź 14 RODO. W różnych okolicznościach treść klauzul może się między sobą różnić. |
|
|
Oświadczenia o zgodzie na przetwarzanie danych |
Zgoda jest tylko jedną z przesłanek przetwarzania danych osobowych i należy ją odbierać, gdy nie można wykazać innej podstawy prawnej przetwarzania. Jeżeli administrator opiera swoje prawo do korzystania z danych osobowych właśnie na tej podstawie, wówczas powinien archiwizować udzielone zgody w postaci papierowej bądź elektronicznej. |
|
Musi go prowadzić ADO. Należy do niego wpisywać wszystkie te procesy przetwarzania danych osobowych, które mają charakter ciągły, np. przetwarzanie danych osobowych pracowników na potrzeby rozliczenia ich wynagrodzeń, odprowadzenia składek na ubezpieczenie społeczne itp. Rejestr powinien być aktualizowany, gdy pojawią się nowe procesy przetwarzania (np. ADO rozpocznie gromadzenie danych osobowych na potrzeby marketingowe) bądź też się zakończą (np. zaprzestanie wydawania newslettera). Rejestru nie muszą prowadzić podmioty wskazane w art. 30 ust. 5 RODO. |
|
|
Musi go prowadzić podmiot przetwarzający. jest on zbliżony treścią do rejestru czynności przetwarzania. Rejestru nie muszą prowadzić podmioty wskazane w art. 30 ust. 5 RODO. |
|
|
Jeżeli w organizacji zaistniał incydent zakwalifikowany przez tę organizację jako naruszenie ochrony danych, wówczas należy przeprowadzić swoiste dochodzenie – zebrać informacje na temat tegoż naruszenia, osoby odpowiedzialnej i poszkodowanej. |
|
|
Dokumenty, których RODO wprost nie wymienia |
|
|
Analiza określa poziom ryzyka przy przetwarzaniu danych osobowych w poszczególnych procesach. |
|
|
Polityki i procedury dotyczące bezpieczeństwa danych |
RODO nie jest w tym zakresie nazbyt drobiazgowe, zaleca jednak ich prowadzenie, gdy może to wpłynąć na zwiększenie bezpieczeństwa danych osobowych. W polityce ochrony danych warto zatem opisać podstawowe procedury ich przetwarzania, a także obowiązki pracowników z tym związane. Dzięki temu polityka będzie stanowiła instrument ochrony danych osobowych. |
Zaprezentowane dokumenty to niezbędne minimum. Konieczne może jednak okazać się posiadanie także innej dokumentacji np. dotyczącej DPIA czy też monitoringu wizyjnego.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1).
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
- Aplikacje webowe – jak przeprowadzić analizę ryzyka i zabezpieczyć dane
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
