Co trzeba zmienić w dokumentacji ochrony danych w związku z rodo

Nowe zasady ochrony danych osobowych, które wprowadzi ogólne rozporządzenie, będą wymagały od administratorów danych wielu zmian. Będą one dotyczyły m.in. dokumentacji ochrony danych osobowych.
Administrator danych nie może czekać na rozpoczęcie obowiązywania ogólnego rozporządzenia. Już teraz należy zastanowić się: co trzeba zmienić w swoim podmiocie związku z rodo, jak i kiedy przeprowadzić zmiany oraz czy i w jaki sposób wpłynie to na procesy biznesowe.

Dokumentacja w grupach kapitałowych

Jeżeli administrator w grupie kapitałowej zechce skorzystać z możliwości wyznaczenia jednego inspektora ochrony danych dla całej grupy, to w zakresie swojej dokumentacji powinien:
  • wystąpić z wnioskiem o wybranie jednego państwowego organu ochrony danych;
  • wybrać inspektora ochrony danych;
  • ustanowić reguły korporacyjne dotyczące przetwarzania danych – wspólne dla wszystkich swoich spółek.

Rejestr czynności przetwarzania

Rozporządzenie ogólne wprowadza termin „rejestrowanie czynności przetwarzania”. W rejestrze czynności przetwarzania danych osobowych trzeba będzie zamieścić dane administratora, cele przetwarzania, kategorie odbiorców oraz opis technicznych i organizacyjnych środków bezpieczeństwa.

Zgłaszanie naruszeń ochrony danych

 
Nowym obowiązkiem administratora będzie zgłaszanie do organu nadzorczego wszelkich przypadków naruszenia ochrony danych osobowych. W związku z tym będzie trzeba opracować procedurę postępowania w przypadku naruszenia ochrony danych. Jeżeli taka procedura istnieje, trzeba będzie ją rozszerzyć, wskazując, kto i w jaki sposób ma zawiadomić organ nadzorczy.

Ocena skutków przetwarzania danych

Administrator będzie miał obowiązek przeprowadzić ocenę skutków planowanej operacji przetwarzania dla ochrony danych, jeżeli wprowadza nowy rodzaj przetwarzania danych. Dokumentacja ochrony danych wzbogaci się więc o oceny przeprowadzane w poszczególnych przypadkach wprowadzania nowych rodzajów przetwarzania danych osobowych. W dokumentacji należy także uregulować, jacy pracownicy mają obowiązek stwierdzić, że należy przeprowadzić taką ocenę, dokonać jej i ewentualnie skontaktować się z organem nadzorczym.

Obowiązek usuwania danych

Po 25 maja 2018 r. administrator może otrzymać żądanie usunięcia wszelkich informacji udostępnionych przez użytkownika. Konieczne będzie więc opracowanie pełnej procedury usuwania danych, zakładającej współpracę osób odpowiedzialnych za m.in. umowy, portal internetowy, wysyłkę materiałów reklamowych czy administrowanie forum albo blogiem.


Marcin Sarna, radca prawny


Tagi: ochrona danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49925 )

Array ( [docId] => 49925 )
Array ( [docId] => 49925 )