Informacja RODO

Ogólne rozporządzenie Parlamentu Europejskiego i Rady  (UE) 2016/679 o ochronie danych (RODO, GDPR) z dnia 27 kwietnia 2016 roku, dotyczy ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. ( art 1 rozporządzenia tzw. RODO).

Rozporządzenie ma zastosowanie od dnia 25 maja 2018 roku.

Rozporządzenie weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, tj. obowiązuje od dnia 24 maja 2016 roku.

Rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Rozporządzenie nie ma zastosowania do przetwarzania danych przez osoby fizyczne w ramach działalności czysto osobistej (art 16 RODO)

Ustawa nie wskazuje żadnych konkretnych sposobów zabezpieczenia danych, żadnych rozwiązań ani wymogów technicznych. To do Administratora należy ocena ryzyka i odpowiednie zabezpieczenie danych.

Na Administratorze będzie ciążył obowiązek wykazania przed organami kontrolującymi , iż dane są chronione w odpowiedni sposób. Ustawa przewiduje „domniemanie winy” i to na Administratorze będzie ciążył obowiązek wykazania, iż dane zabezpieczone są w odpowiedni sposób a ryzyko naruszeń nie istnieje.

W celu dostosowania firmy do wymogów RODO proponuję podjęcie następujących kroków:

1. przeprowadzić w firmie wewnętrzny audyt ( prawny, informatyczny, organizacyjny, techniczny) aby zidentyfikować, kto, gdzie, w jakim celu i w jaki sposób przetwarza dane;

2. na podstawie audytu sporządzić analizę ryzyka;

3. określić środki, które pozwolą w konkretnych obszarach zminimalizować to ryzyko;

4. przygotować lub zaktualizować istniejącą dokumentację, którą będzie można okazać w trakcie kontroli;

5. wdrożyć zabezpieczenia w pozostałych obszarach.

W celu wyjaśnienia pojęć prawnych i kontekstów ich użycia wskazuję, iż:

dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. UWAGA już samo imię i nazwisko stanowi dane osobowe.

Dane osobowe można podzielić na następujące grupy:

-Pracownicy (kandydaci do pracy, byli pracownicy);

-Klienci;

-Kontrahenci;

-Korespondencja;

-Monitoring ( konieczne jest aby na ternie zakładu umieścić stosowne tablice informacyjne oraz aby taka informacja znalazła się także w miejscu ogólnodostępnym np. na stronie internetowej)

-Umowy cywilnoprawne (praktyki, staże)

UWAGA ochrona danych osobowych nie dotyczy osób zmarłych (art 27 RODO)

Stosownie do przepisów rozporządzenia zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów.

Sposoby przetwarzania danych dzielimy na:

Nieautomatyzowane:

-Akt spraw;

-Umowy z klientami;

-Faktury;

-Dokumenty kadrowe;

Zautomatyzowane:

-Pakiet Office;

-Programy do zarządzania firmą;

-Poczta elektroniczna;

-Rozwiązania chmurowe (np. OneDrive);

-Kalendarz w Outlook’u;

-Formularz kontaktowy na stronie www

-urządzenia i nośniki służące do przetwarzania danych to:

-Segregator, teczka, koszulka, kalendarz;

-Komputer stacjonarny, urządzenie wielofunkcyjne, niszczarka (niszczenie danych to tez ich przetwarzanie);

-Komputer przenośny, tablet, netbook, pendrive, dysk przenośny, smartfon;

Stosownie do RODO założenia przetwarzania danych powinny opierać się na

-Neutralności technologicznej;

-Podejściu opartym na ryzyku;

-Rozliczalności.

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

W spółkach rolę Administratora będzie pełnił Zarząd w przedsiębiorstwach prowadzonych przez osoby fizyczne te osoby – właściciele firmy.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa  i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych , w szczególności gdy osoba której dane dotyczą jest dzieckiem.

Równocześnie zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Powyższe  nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych

osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

2. przetwarzanie jest niezbędne do wykonywania umowy której strona jest osoba , której

dane dotyczą lub do podjęcia działań  na żądanie osoby , której dane dotyczą przed

zawarciem umowy

3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby której dane dotyczą lub inne osoby fizycznej
5. przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym lub w ramach sprawowanej władzy publicznej powierzonej administratorowi
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią
7. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego  przewidującym odpowiednie zabezpieczenia  praw podstawowych  i interesów osoby, której dane dotyczą,
8. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sąd

Ważną kwestią jest także powierzenie przetwarzania danych, chodzi nie tylko o powierzenie przetwarzania tych danych pracownikom np. kadr ale także  np. zawarcie umowy z biurem rachunkowym, czy też z kancelarią adwokacką.....

„podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Powierzenie odbywa się na podstawie art. 31 ustawy z dnia 29.08.1997 roku o ochronie danych osobowych (Dz. U. z 2016r., poz. 922) zwanej dalej Ustawą oraz art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO

co do pracowników proponuję sporządzenie stosownych upoważnień do przetwarzania danych

ważne także aby określić w polityce bezpieczeństwa który pracownik ma dostęp do których danych, stopniować te upoważnienia, nie wszyscy muszą mieć dostęp do wszystkich danych osobowych

Z biurem rachunkowym, kancelarią adwokacka należy zawrzeć umowę o powierzenie przetwarzania danych

WZÓR

Umowa powierzenia przetwarzania danych

zwana dalej „Umową”,

zawarta w …………………………………………..,   dnia ................................. r.

pomiędzy:

…………………………………………..,

zwanym dalej „Administratorem” 

a

…………………………………………..,

zwaną dalej „Podmiotem przetwarzającym”,           

zwanymi łącznie „Stronami”.

Mając na uwadze, iż Strony łączy Umowa z dnia ....................., przedmiotem której jest ………………………………………. zwana dalej „Umową główną”, w trakcie wykonywania której przetwarzane są dane osobowe, Strony zgodnie postanowiły, co następuje:

• 1.

Przedmiot Umowy

1. Strony postanawiają, że w celu spełnienia obowiązków wynikających z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. zwanego dalej „Rozporządzeniem”, Administrator powierza Podmiotowi przetwarzającemu do dane osobowe w celu realizacji Umowy głównej.
2. Zakres przetwarzania obejmuje ……………………... danych osobowych w zbiorach Administratora: …………………………………..
3. Przetwarzane dane dotyczą …………..
4. Przetwarzane dane obejmują: ……………

• 2.

Obowiązki i prawa administratora

1. Administrator powierzone Podmiotowi przetwarzającemu do przetwarzania dane osobowe gromadzi zgodnie z obowiązującymi przepisami prawa oraz jest uprawniony do powierzenia przetwarzania danych osobowych.
2. Administrator zobowiązany jest do przekazywania danych zachowując zasady bezpieczeństwa w celu zachowania poufności i integralności powierzanych danych.
3. Administrator zezwala / nie zezwala na korzystanie z usług innego podmiotu przetwarzającego.
4. Administrator ma możliwość wyrażenia sprzeciwu wobec dodania lub zastąpienia innych podmiotów przetwarzających.
5. Administrator ma prawo samodzielnie lub za pomocą upoważnionych przez siebie audytorów przeprowadzić audyty lub inspekcje, których celem jest weryfikacja realizacji obowiązków wynikających z zapisów Rozporządzenia.

• 3.

Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązany jest stosować przepisy Rozporządzenia, w tym:
2. stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo powierzanym danym, w stopniu adekwatnym do ryzyka występujących zagrożeń,
3. powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem,
4. dopuszczać do przetwarzana danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
5. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora.
6. Podmiot przetwarzający zgłasza Administratorowi przypadki naruszeń ochrony danych osobowych.

• 4.

Oświadczenie Podmiotu przetwarzającego

1. Zobowiązuję się do wykorzystania powierzonych danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z umowy współpracy.
2. W przypadku ogólnej pisemnej zgody na korzystanie z usług innego podmiotu przetwarzającego poinformuję Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających.
3. W miarę możliwości będę pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
4. W przypadku audytów lub inspekcji przeprowadzonych lub zleconych przez Administratora udostępnię wszelkie niezbędne informacje z zachowaniem czujności, czy żądane informacje nie naruszą zapisów Rozporządzenia.

• 5.

Czas trwania i wypowiedzenie Umowy

5. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem niniejszej Umowy, zgodnie z przepisami Rozporządzenia i Kodeksu cywilnego.
6. W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie i zaniechanie.

• 6.

Czas trwania i wypowiedzenie Umowy

7. Umowa zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy głównej skutkuje rozwiązaniem niniejszej Umowy.
8. Strony postanawiają, iż po zakończeniu przetwarzania danych Podmiot powierzający zobowiązany jest do niezwłocznego usunięcia powierzonych mu danych (i wszelkich ich istniejących kopii) lub zwrotu Administratorowi – w zależności od jego decyzji, o ile nie następuje konieczność dalszego przetwarzania danych wynikająca z przepisów odrębnych.
9. Administrator jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli Podmiot przetwarzający nie podjął środków zabezpieczających powierzone dane lub nie stosował się do wymogów przewidzianych w Rozporządzeniu.
10. Każdej ze Stron przysługuje prawo rozwiązania niniejszej Umowy w trybie natychmiastowym, w przypadku naruszenia postanowień niniejszej Umowy przez drugą Stronę Umowy.

• 7.

Postanowienia końcowe

11. Z tytułu wykonywania świadczeń określonych w niniejszej Umowie Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie głównej.
12. Umowa wchodzi w życie z dniem jej podpisania przez Strony.
13. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają powszechnie obowiązujące przepisy prawa polskiego.
14. Wszelkie zmiany lub uzupełnienia niniejszej Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
15. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją niniejszej Umowy jest sąd właściwy dla siedziby Administratora.
16. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Podpisy:

………………………………….…                              ………………………………………..

                        Administrator                                                   Podmiot przetwarzający

Naruszenie ochrony danych osobowych w zakresie dopuszczalności przetwarzania danych osobowych – administracyjna kara pieniężna do 20.000.000 euro lub 4 % rocznego światowego obrotu przedsiębiorstwa lub z tytułu innych naruszeń do 10.000.000 euro lub 2 % rocznego światowego obrotu przedsiębiorstwa ( ciekawostka – kary te nie dotyczą organów i podmiotów publicznych.)

Na czym polega naruszenie ochrony danych osobowych?

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Najczęstsze zagrożenia to:

-Ujawnienie informacji;

-Przełamanie haseł dostępu;

-Przełamanie zabezpieczeń lub ich obejście;

-Fałszowanie i usuwanie informacji;

-Niszczenie informacji na nośnikach;

-Użycie złośliwego oprogramowania;

-Nieuprawniony dostęp do systemu z zewnątrz;

-Nieuprawniony dostęp do systemu z jego wnętrza;

-Nieuprawniony dostęp do pomieszczenia;

-Nieuprawniony przekaz danych;

-Wyłudzanie, kradzież i fałszowanie haseł dostępu;

-Utrata sprzętu;

-Utrata nośnika informacji;

-Nieograniczony dostęp do komputera;

-Brak kopii zapasowej;

-Użycie nieautoryzowanego nośnika informacji;

-Brak zabezpieczeń smartfona;

-Brak nawyku korzystania z niszczarek;

-Wysyłanie informacji w kopii jawnej do więcej niż jednego adresata;

-Wysłanie maila do niewłaściwego odbiorcy;

-Korzystanie z free wifi;

-Mimowolne stosowanie praktyk BYOD;

-Brak szyfrowania danych;

-Brak rozliczalności dostępu do danych;

-Brak rozliczalności dostępu do poczty;

-Naruszenie zasady czystego biurka;

-Naruszenie zasady czystego ekranu;

-Zapisywanie haseł;

-Stosowanie jednego hasła do więcej niż jednej usługi;

-Stosowanie oczywistych haseł.

-Ujawnienie informacji;

-Przełamanie haseł dostępu;

-Przełamanie zabezpieczeń lub ich obejście;

-Fałszowanie i usuwanie informacji;

-Niszczenie informacji na nośnikach;

-Użycie złośliwego oprogramowania;

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

1. pseudonimizację i szyfrowanie danych osobowych;
2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Można stworzyć dokument „Polityka ochronnych danych” - jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki organizacyjne i techniczne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Można prowadzić „Rejestr czynności przetwarzania” - Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

-imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

-cele przetwarzania;

-opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

-kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

-gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

Można powołać „Inspektora ochrony danych” - Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

-przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

-główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

-główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Główna działalność administratora lub podmiotu przetwarzającego – motyw 97 RODO: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”.

Jeżeli nie decydujemy się na powołanie Inspektora Ochrony Danych musimy to uzasadnić- sporządzić odrębny dokument – ocenę ryzyka, z którego będzie wynikało, iż w naszej firmie nie ma potrzeby powołania Inspektora.

Celem weryfikacji konieczności powołania Inspektora Danych Osobowych należy odpowiedzieć sobie na następujące pytania:

1. Czy podmiot realizuje zadania publiczne?
2. Czy zadania publiczne realizowane są przez podmiot na dużą skalę?
3. Czy podmiot przetwarza dane szczególnej kategorii?
4. Czy główna działalność podmiotu polega na przetwarzaniu danych szczególnej kategorii?
5. Czy przetwarzanie danych szczególnej kategorii odbywa się na dużą skalę?
6. Czy główna działalność podmiotu polega na monitorowaniu osób fizycznych?
7. Czy monitorowanie jest regularne i systematyczne?
8. Czy monitorowanie osób fizycznych odbywa się na duża skalę?
9. Czy główna działalność podmiotu polega na przetwarzaniu danych dotyczących wyroków skazujących i naruszeń prawa?
10. Czy przetwarzanie danych dotyczących wyroków skazujących i naruszeń prawa odbywa się na dużą skalę?
11. Czy przetwarzanie danych osobowych odbywa się za pomocą systemów informatycznych?
12. Czy do przetwarzania danych osobowych w podmiocie służą więcej niż 3 systemy informatyczne?
13. Czy za pomocą systemów informatycznych przetwarza się dane osobowe w więcej niż 3 zbiorach danych?
14. Czy do przetwarzania danych osobowych za pomocą systemów informatycznych uprawnionych jest więcej niż 10 pracowników?
15. Czy podmiot powierzył przetwarzanie danych pracowniczych firmie zewnętrznej?
16. Czy podmiot zatrudnia więcej niż 200 pracowników?
17. Czy podmiot ma rozproszoną strukturę?
18. Czy podmiot ma więcej niż 5 oddziałów?
19. Czy ilość zbiorów danych osobowych przetwarzanych we wszystkich lokalizacjach jest większa niż 8?
20. Czy przetwarzanie danych w zbiorach za pomocą systemów informatycznych prowadzone jest w architekturze rozproszonej?

Jeżeli na pytania o nr 2 lub/i 5 lub/i 8 lub/i 10 lub/i 14 lub/i 20 odpowiedź jest twierdząca należy poważnie rozważyć powołanie Inspektora Ochrony Danych Osobowych.

Wykaz idealnej dokumentacji na potrzeby kontroli RODO wygląda w następujący sposób:

• Polityka ochrony danych osobowych;
• wzór umowy o współadministrowanie danymi osobowymi; ( jeżeli mamy odczynienia np. ze wspólnotą biurową)
• wzór uchwały zarządu o wyznaczeniu Inspektora Ochrony Danych / wzór dokumentu wyznaczającego Inspektora Ochrony Danych;
• wzór umowy o pracę dla Inspektora Ochrony Danych;
• wzór umowy o świadczenie usług Inspektora Ochrony Danych;
• procedura nadawania, zmiany i odbierania upoważnień do przetwarzania danych osobowych;
• wzór oświadczenia o zapoznaniu się z dokumentami z zakresu ochrony danych osobowych, oświadczenia o odbyciu szkolenia z zakresu ochrony danych osobowych, oświadczenia o przestrzeganiu ochrony danych osobowych oraz ustalonych procedur;
• wzór ewidencji osób upoważnionych do przetwarzania danych osobowych;
• wzór umowy o powierzenie przetwarzania danych osobowych;
• wzór sprzeciwu wobec podmiotu przetwarzającego;
• wzór ewidencji podmiotów przetwarzających;
• wzór rejestru wszystkich kategorii czynności przetwarzania;
• wzór ewidencji odbiorców danych osobowych;
• wzór rejestru żądań udostępnień danych osobowych;
• procedura zarządzania ryzykiem;
• procedura przeprowadzania oceny skutków dla ochrony danych osobowych;
• procedura privacy by design i privacy by default;
• wzór ewidencji zbiorów danych osobowych;
• wzór ewidencji pomieszczeń;
• wzór ewidencji nośników;
• wzór ewidencji programów komputerowych (aplikacji);
• wzór rejestru czynności przetwarzania danych osobowych;
• wykaz podstaw prawnych przetwarzania danych osobowych;
• wykaz stosowanych klauzul zgód;
• zasady profilowania i zautomatyzowanego podejmowania decyzji;
• wykaz okresów przetwarzania danych osobowych;
• wykaz podstaw prawnych przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych;
• wykaz stosowanych klauzul informacyjnych wraz ze wzorem oświadczenia o poinformowaniu;
• szczegółowy opis uprawnień osób fizycznych;
• procedura realizacji uprawnień osób fizycznych;
• wzór rejestru informacji o wykonywaniu praw;
• opis stosowanych środków technicznych i organizacyjnych;
• opis ochrony pomieszczeń;
• wzór uchwały zarządu o wyznaczeniu Administratora Systemów Informatycznych / dokumentu wyznaczającego Administratora Systemów Informatycznych;
• instrukcja zarządzania systemami informatycznymi;
• zasady bezpieczeństwa;
• procedura wykrywania i klasyfikowania naruszeń ochrony danych osobowych;
• wzór rejestru naruszeń ochrony danych osobowych;
• procedura zawiadamiania o naruszeniu ochrony danych osobowych;
• wzór planu audytu;
• wzór raportu z audytu.