Co trzeba zmienić w dokumentacji ochrony danych w związku z rodo
Nowe zasady ochrony danych osobowych, które wprowadzi ogólne rozporządzenie, będą wymagały od administratorów danych wielu zmian. Będą one dotyczyły m.in. dokumentacji ochrony danych osobowych.
Administrator danych nie może czekać na rozpoczęcie obowiązywania ogólnego rozporządzenia. Już teraz należy zastanowić się: co trzeba zmienić w swoim podmiocie związku z rodo, jak i kiedy przeprowadzić zmiany oraz czy i w jaki sposób wpłynie to na procesy biznesowe.
Dokumentacja w grupach kapitałowych
Jeżeli administrator w grupie kapitałowej zechce skorzystać z możliwości wyznaczenia jednego inspektora ochrony danych dla całej grupy, to w zakresie swojej dokumentacji powinien:
- wystąpić z wnioskiem o wybranie jednego państwowego organu ochrony danych;
- wybrać inspektora ochrony danych;
- ustanowić reguły korporacyjne dotyczące przetwarzania danych – wspólne dla wszystkich swoich spółek.
Rejestr czynności przetwarzania
Rozporządzenie ogólne wprowadza termin „rejestrowanie czynności przetwarzania”. W rejestrze czynności przetwarzania danych osobowych trzeba będzie zamieścić dane administratora, cele przetwarzania, kategorie odbiorców oraz opis technicznych i organizacyjnych środków bezpieczeństwa.
Zgłaszanie naruszeń ochrony danych
Nowym obowiązkiem administratora będzie zgłaszanie do organu nadzorczego wszelkich przypadków naruszenia ochrony danych osobowych. W związku z tym będzie trzeba opracować procedurę postępowania w przypadku naruszenia ochrony danych. Jeżeli taka procedura istnieje, trzeba będzie ją rozszerzyć, wskazując, kto i w jaki sposób ma zawiadomić organ nadzorczy.
Ocena skutków przetwarzania danych
Administrator będzie miał obowiązek przeprowadzić ocenę skutków planowanej operacji przetwarzania dla ochrony danych, jeżeli wprowadza nowy rodzaj przetwarzania danych. Dokumentacja ochrony danych wzbogaci się więc o oceny przeprowadzane w poszczególnych przypadkach wprowadzania nowych rodzajów przetwarzania danych osobowych. W dokumentacji należy także uregulować, jacy pracownicy mają obowiązek stwierdzić, że należy przeprowadzić taką ocenę, dokonać jej i ewentualnie skontaktować się z organem nadzorczym.
Obowiązek usuwania danych
Po 25 maja 2018 r. administrator może otrzymać żądanie usunięcia wszelkich informacji udostępnionych przez użytkownika. Konieczne będzie więc opracowanie pełnej procedury usuwania danych, zakładającej współpracę osób odpowiedzialnych za m.in. umowy, portal internetowy, wysyłkę materiałów reklamowych czy administrowanie forum albo blogiem.
Tagi: ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »