Jak wdrożyć RODO?

Do tej pory na blogu mówiliśmy przede wszystkim o tym jak zgodnie z RODO obchodzić się z danymi osobowymi i omijać wynikające z niego pułapki. Jeśli jednak działalność ma być prowadzona w zgodzie z nowymi przepisami należy również przygotować swoja organizację do RODO pod względem “papierologii”. Poniżej w krótkich słowach opiszę z czym to się wiąże.

Przede wszystkim RODO nakłada na administratorów (czyli obecnie właśnie fotografów) obowiązek prowadzenia rejestru czynności przetwarzania. Kto musi prowadzić taki rejestr było do tej pory trochę niejasne (nowe przepisy są dość ogólne) ale po ostatnich wyjaśnieniach Grupy z art. 29 nie ma już wątpliwości – każdy kto stale w działalności posługuje się danymi osobowymi (a więc na przykład ma pracownika lub zleceniobiorcę lub stale wykorzystuje w działalności dane osobowe – fotograf uwieczniający wizerunki, czyli dane osobowe wpasowuje się tu idealnie) powinien opisać jak to robi w rejestrze czynności przetwarzania.

Niezależnie od tego, zanim przystąpimy do pracy z danymi osobowymi, teoretycznie powinniśmy przeprowadzić analizę jak nasze działania mogą wpływać na prawa osób, których dane wykorzystujemy (czyli analizę ryzyka). Te dwa dokumenty to absolutne minimum dokumentacji w zakresie RODO jaką powinien posiadać każdy administrator.

Do tego dochodzi jeszcze rejestr incydentów – czyli spis sytuacji w których doszło do naruszenia przepisów, również sporządzany zgodnie z wynikającym z RODO wzorem.

Co istotne, te dokumenty należy okazać bezwzględnie w razie prowadzenia kontroli w firmie. Czy zatem to wszystko? Nie do końca. Jeśli zdecydujemy się zatrudnić pracownika (na podstawie umowy o pracę, lub zlecenia) trzeba jeszcze zapewnić sobie wymaganą przez RODO dokumentację (zgodę pracownika na przetwarzanie danych osobowych, oświadczenie o powierzeniu mu danych, zgody na wykorzystanie jego wizerunku do monitoringu i kilka innych dokumentów) oraz wdrożyć zasady bezpieczeństwa (takie jak zasady wykorzystywania komputerów do przetwarzania danych, czy choćby wprowadzenie zasad działania z danymi, gdy współdzielimy biuro z innymi osobami albo pracujemy z domu).
Ponadto, aby skutecznie wykonywać obowiązki wynikające z RODO rekomendowane jest przyjęcie polityki przetwarzania danych – to dokument w którym opisane są stosowane przez administratora zasady wykorzystywania danych osobowych i ich ochrony, który będzie bardzo przydatny w razie kontroli (wyjaśni kontrolerom co robimy i na jakich podstawach prawnych).
Niezależnie od tego, aby działać zgodnie z prawem wymagane może być (w zależności od charakteru prowadzonej działalności) sporządzenie szeregu innych dokumentów takich jak: polityki prywatności na strony internetowe, treści wykorzystywanych zgód, treści informacji jakie należy przygotować dla klienta itp.
Jak zatem widać wdrożenie RODO to o wiele więcej, niż tylko wprowadzenie do umów nowych zgód – trzeba jeszcze spełnić stawiane przez RODO obowiązki formalne a czasem wręcz „nauczyć się” jak działać zgodnie z prawem (np jakich aplikacji wolno używać, jak korzystać bezpiecznie z komputera, na co zwrócić uwagę przy wyborze dostawców itp.). Wdrożenie RODO to proces, który musi zajść zarówno w naszym podejściu do danych osobowych i ich przetwarzania, jak i w sferze dokumentacji z nimi związanej.

Jak zdobyć dokumentację dla fotografa?

You Might Also Like