Ochrona danych osobowych

- audyt poziomu ochrony danych – zestaw czynności mający na celu weryfikację poziomu ochrony danych w przedsiębiorstwie lub organizacji. W ramach czynności audytowych zwraca się szczególną uwagę na  wewnętrzne procedury obowiązujące w oznaczonym przedsiębiorstwie oraz stosowane środki techniczne i organizacyjne w celu ochrony danych.  

- dokumentacja dot. ochrony danych tj:

a) polityka bezpieczeństwa informacji - jest to z zasady obszerny dokument, zawierający opis przedsiębiorstwa ze szczególnym uwzględnieniem zbiorów danych należących do oznaczonego przedsiębiorstwa. W polityce bezpieczeństwa informacji znajdują się stosowne zestawienia wskazujące min. na cele przetwarzania danych oraz kategorie danych podlegających przetwarzaniu. Można z całym spokojem stwierdzić iż  jest to kluczowy dokument, ponieważ powinien zawierać szczegółowy opis przedsiębiorstwa z uwzględnieniem wszelkich wprowadzonych procedur dotyczących ochrony danych osobowych. 

b) instrukcja zarządzania systemami – dokument, którego głównym zadaniem jest dostarczenie informacji na temat systemów IT w ramach, których dochodzi do przetwarzania danych osobowych, ze wskazaniem konkretnych cech systemów. Instrukcja powinna zawierać informacje o procedurach IT stosowanych  w przedsiębiorstwie min. informacje o nadawaniu uprawnień. 

c) dokumentacja dot. zatrudnienia – wskazana dokumentacja dzieli się na osobową i płacową. W zakres pierwszej wchodzą: ewidencje, kartoteki, rejestry, wykazy  gromadzone przez pracodawcę w oparciu o obowiązujące przepisy. Natomiast dokumentacja płacowa dotyczy wypłacanych pracownikowi wynagrodzeń. Od 1 stycznia 2019r. obowiązuje  Rozporządzenie Ministra Pracy i Polityki Społecznej w sprawie dokumentacji pracowniczej, które nakłada wiele nowych obowiązków na osoby prowadzące dokumentację dotyczącą zatrudnienia. 

d) regulaminy – najogólniej regulamin można określić jako zbiór zasad dotyczących postępowania w oznaczonej społeczności w oznaczanym zakresie. Obecnie w przedsiębiorstwa obok regulaminu pracy i wynagrodzeń, stosuje się również regulaminy z zakresu ochrony danych osobowych tj.  regulamin rekrutacji, regulamin prowadzenia czynności marketingowych, mają one na celu zabezpieczyć właściwe postępowanie min. w zakresie ochrony danych.  

e) polityki prywatności -  zgodnie z motywem  78 RODO przedsiębiorca jest zobowiązany do wdrażania stosowanych polityk, które mają na celu wprowadzenie procedur w zakresie ochrony danych osobowych.  Polityka prywatności jest szczególnym dokumentem w ramach, którego przedsiębiorcy wypełniają nałożony na nich zgodnie z art. 13 i art. 14 RODO obowiązek informacyjny. Każdy przedsiębiorca, który ma swoją stronę internetową powinien zawrzeć na niej politykę prywatności, tak aby osoby, które korzystają z jego strony miały faktyczną możliwość uzyskać szczegółowe informacje na temat ochrony ich danych osobowych. Warto przypomnieć, że właśnie pierwsza kara nałożona na przedsiębiorców przez Prezesa Urzędu Ochrony Danych dotyczyła właśnie kwestii niewłaściwego wykonania obowiązku informacyjnego.    

f) wzory sprawozdań -  w przypadku dużych przedsiębiorstw, w których występuje kilka działów istotne jest wprowadzenie procedury okresowego sprawdzania przestrzegania norm prawnych min. w zakresie ochrony danych osobowych. Ważne aby sprawdzenia były dokumentowane np. w formie stosowanych raportów.  

- opiniowanie działań i projektów – przed wdrożeniem nowych wytycznych  związanych z oznaczonymi działaniami w przedsiębiorstwie, należy w pierwszej kolejności poddać projektowane wytyczne stosownej ocenie prawnej tak z perspektywy gospodarczej jak i ochrony danych osobowych.  Zgodnie z art. 35 RODO każdy przedsiębiorca jest zobowiązany uwzględniać ochronę danych w fazie projektowania. Przykładowo przed rozpoczęciem działań marketingowych, tworzy się wewnętrzny dokument firmowy zawierający stosowne szczegółowe regulacje dotyczące właśnie działań marketingowych ale przed faktycznym wprowadzeniem oznaczonych działań w życie konieczne jest zweryfikowanie ich pod kątem zgodności z RODO.   

- weryfikacja klauzul zgody – jedną z podstaw legalnego przetwarzania danych jest uzyskanie zgody osoby, której dane dotyczą na ich przetwarzanie. Jednak aby wskazana zgoda miała skuteczności prawną konieczne jest utworzenia odpowiedniej klauzuli zgody, w czym może pomóc regulacja zawarta w art. 7 RODO.  Na podstawie oznaczonego artykułu możemy zauważyć, że zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Co więcej, musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Obok klauzuli zgody, powinny znaleźć się również informacje o możliwości  wycofania zgody w dowolnym czasie. 

- modyfikacja klauzul zgody – zaleca się aby przed rozpoczęciem działań nakierowanych na uzyskanie zgody uzyskać weryfikację klauzul zgody przez wyspecjalizowany podmiot.  W przypadku gdy klauzule zgody będą nieodpowiednio zredagowane, wówczas nie będzie możliwe pozyskanie za ich pomocą legalnych zgód na przetwarzanie danych.   

- weryfikacja umów gospodarczych –  każda umowa przed podpisaniem powinna zostać zweryfikowana pod względem bezpieczeństwa prawnego każdej strony umowy. W szczególności należy zwrócić uwagę  na występowanie tzw. ,, pułapek prawnych’’, które zdarzają się wówczas gdy jedna strona umowy chce podstępem uzyskać więcej niż jej się faktycznie należy. Dlatego warto wyrobić w sobie nawyk nieufności i przed zawarciem jakiejkolwiek umowy skonsultować się ze swoim prawnikiem.   

- wzory umów powierzenia przetwarzania -  w sytuacji gdy dochodzi do powierzenia przetwarzania danych, konieczne jest zawarcie zgodnie z art. 28 RODO umowy powierzenia przetwarzania, która będzie  regulowała kwestie związane z powierzeniem danych oznaczonemu podmiotowi. Warto podkreślić, że wskazana umowa w żadnych wypadku nie może być zawarta jedynie w formie ustnego porozumienia, konieczne jest zawarcie jej w sposób trwały. Każdy przedsiębiorca oprócz zawierania umów powierzenia przetwarzania przed każdym faktycznym powierzeniem danych swoim kontrahentom z którymi np. współpracuje na zasadzie outsourcingu jest zobowiązany do  prowadzenia ewidencji umów powierzenia przetwarzania. 

- analiza zasadności powołania IOD -  przed wejściem w życie RODO, przedsiębiorcy, którzy nie chcieli zgłaszać swoich zbiorów danych do GIODO byli związani do powołania w swoim przedsiębiorstwie Administratora Bezpieczeństwa Informacji tzw. ABI. Obecnie ABI  został zastąpiony przez IOD czyli Inspektora Ochrony Danych, którego niektórzy przedsiębiorcy mogą a niektórzy faktycznie muszą wyznaczyć. Dlatego dla każdego przedsiębiorcy konieczne jest przeprowadzenia odrębnej analizy w zakresie obowiązku powołania IOD.  

- dokumentacja dot. powołania IOD –  IOD należ wyznaczyć i zgłosić do Urzędu Ochrony Danych w formie elektronicznej.  Z IOD powinna zostać zawarta pisemna umowa, tak aby w sposób jasny zostały określony zakres jego działań w przedsiębiorstwie ( zakres kompetencji określa RODO  ale przedsiębiorca ma prawo uszczegółowić zakres działań IOD)

- analiza prowadzenia rejestru czynności przetwarzania – regulacje zawarte w RODO nakładają na przedsiębiorców obowiązek prowadzenia rejestru czynności przetwarzania oraz w zależności od tego czy danego przedsiębiorcę można zakwalifikować jako podmiot przetwarzający rejestr kategorii czynności przetwarzania. Jednak nie każdy przedsiębiorca jest zobowiązany do prowadzenia rejestru, dlatego konieczna jest analiza zasadności  prowadzenia rejestru pod kątem przedmiotu działalności oraz charakteru przedsiębiorstwa.  

- przekazywanie/ udostępnianie danych do Państw trzecich – w przypadku gdy oznaczonym podmiot przekazuje dane osobowe do Państwa trzeciego, jest zobowiązany nie tylko informować o tym osoby których dane dotyczą ale w sytuacji gdy podmiot z państwa trzeciego chce np. wykonywać czynności marketingowe względem osób z bazy to konieczna jest weryfikacja czy wskazanych podmiot z państwa trzeciego powołał swojego przedstawiciela w państwie w którym znajdują się osoby, których dane dotyczą.    

a) dokumentacja

- szkolenia: w ramach naszej Kancelarii oferujemy Państwu szkolenia dedykowane do oznaczonych podmiotów,  w ramach szkoleń kompleksowo prezentujemy tematykę dotyczącą RODO jak również w zależności od grupy, do której należą odbiorcy szkolenia poruszamy zagadnienia utylitarne z perspektywy ich  grupy zawodowej. 

a) dla pracowników

b) dla kadry zarządzającej

c) dla księgowych

d) dla rekruterów

e) dla  przedsiębiorców

f) dla Inspektora Ochrony Danych