Nieraz już po fakcie okazuje się, że nie dopilnowałeś dokumentów, które w teorii wydają się oczywistością – być może sądziłeś nawet, że je posiadasz lub że po prostu spełniasz wszystkie wymogi. Postaram się przedstawić Ci 6 wybranych elementów dokumentacji, których okazuje się brakować niejednokrotnie u klientów zgłaszających się do naszej Kancelarii Pałucki & Szkutnik.
1. Brak raportu lub rejestru naruszenia danych osobowych
Dokumentowanie incydentów naruszeń danych osobowych jest kluczowe dla zachowania przejrzystości i spełnienia zasady rozliczalności RODO. Jako administrator musisz dokumentować wszystkie incydenty, również te, których nie zgłosiłeś – pomoże Ci to udowodnić i wytłumaczyć w wypadku kontroli, dlaczego nie zgłosiłeś takiego naruszenia (art. 33 ust. 5 RODO). Ponadto skrupulatna dokumentacja pozwala poprawiać i aktualizować zabezpieczenia – jeśli zauważasz tutaj jakieś błędy lub niedociągnięcia możesz wykorzystywać je do doskonalenia systemu zabezpieczeń.
Wewnętrzny rejestr naruszeń powinien zawierać wszelkie okoliczności, skutki, uzasadnienie oceny ryzyka w wypadku danego incydentu, podjęte działania zapobiegawcze i zaradcze, szczegóły zgłoszenia lub też uzasadniające jego brak oraz szczegóły dotyczące zawiadomienia osób, których dane dotyczą. Dokumentowanie naruszeń ochrony danych jest obowiązkowe i pozwala organowi nadzorczemu na sprawdzenie prawidłowości naszych działań.
2. Brak standardowych klauzul umownych
Przy wszelkich transferach międzynarodowych do krajów trzecich konieczne będzie zabezpieczenie przesyłanych danych w odpowiedni sposób, wskazany w Rozporządzeniu. Najczęściej używanym narzędziem, w zależności od kraju, będzie decyzja o adekwatności lub standardowe klauzule umowne. Jednak o ile w pierwszym przypadku w większości przypadków nie będziemy musieli nic robić tylko przesyłanie danych będzie bezpieczne z uwagi na adekwatność systemu ochrony danych osobowych, to w przypadku klauzul konieczne jest zawarcie stosownej umowy (tj. właśnie tych klauzul) z kontrahentem. Niestety, czasem dochodzi do sytuacji, iż pomimo tego, że zawarcie klauzul będzie wymagane to nie robimy tego, co wynika z braku świadomości. Najczęstszym przykładem jest tutaj korzystanie z narzędzi, dostarczanych przez firmy z krajów trzecich. Często jest tak, że w przypadku korzystania z nich klauzule zawierane są automatycznie w momencie akceptacji regulaminu- jednak nie zawsze tak jest. W niektórych przypadkach wymagane jest wyraźna akceptacja lub nawet podpisanie odrębnego dokumentu, zazwyczaj umowy powierzenia wraz z klauzulami. Administrator danych powinien każdorazowo sprawdzić, jak wygląda to w przypadku danego narzędzia.
3. Niezaktualizowana polityka prywatności
Zazwyczaj polityka prywatności tworzona jest w momencie zakładania strony internetowej. Niestety wielu przedsiębiorców zapomina o tym, że dokument ten powinien być później aktualizowany i dostosowany do działalności firmy. W wypadku, gdy podejmujesz na swojej stronie jakiekolwiek nowe działania, które mają choćby niewielką styczność z tematyką przetwarzania danych osobowych, musisz wtedy umieścić odpowiednie nowe informacje w polityce prywatności. Mogą być to nowe narzędzia na stronie, wprowadzenie nowego komunikatora, nowego formularza itd. Zmiany te często mogą się wiązać z koniecznością wprowadzenia także aktualizacji w polityce cookies. Należy zatem trzymać rękę na pulsie i każdorazowo dbać o odpowiednie zmiany w politykach.
4. Brak zaktualizowanej klauzuli informacyjnej
Najczęstszymi przypadkami, kiedy może przydarzyć Ci się przeoczenie stosownej aktualizacji klauzuli informacyjnej, są nowe działania Twojej firmy, w jakie się angażujesz, nowe przepisy czy też nowe wytyczne. W każdym z przypadków może przydarzyć Ci się, że zmienią się Twoje cele lub podstawy przetwarzania danych osobowych. Jeśli tak się stanie, musisz wprowadzić odpowiednie zmiany w klauzuli informacyjnej albo przyjąć nowe klauzule związane z nowym procesem. Niedawno takie właśnie zmiany wymusiła na większości firm wprowadzona ustawa o ochronie sygnalistów.
5. Nieprawidłowe wdrożenie monitoringu wizyjnego
O tym, jak dotkliwa kara może być wyznaczona za stosowanie monitoringu niezgodnie z przepisami RODO, mógł przekonać się szpital w Krakowie w lutym 2025 r. Kara ponad 1 mln zł, m.in. za niejawne wprowadzenie monitoringu, nałożona przez PUODO musi zrobić wrażenie i uświadomić Ci, jak ważne jest dopilnowanie spełnienia wymogów wynikających z przepisów przy stosowaniu monitoringu wizyjnego. Przypomnę, że podstawą w kontekście RODO są tu: art. 12 – Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą oraz art. 13 RODO, regulujący zawartość klauzul informacyjnych. Oczywiście równie kluczowy będzie art. 5 RODO, z zasadami przetwarzania danych osobowych oraz art. 6, z podstawami przetwarzania.
Zgodnie z wytycznymi UODO nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny informacją o monitoringu, w szczególności za pomocą odpowiednich znaków. Dopuszczalne formy obowiązku informacyjnego są pisemne oraz dźwiękowe. Minimalny zakres w pierwszej warstwie informacyjnej musi zawierać:
· dane administratora;
· cel przetwarzania danych;
· zasięg monitoringu;
· okres przechowywania danych;
· oraz gdzie szukać dodatkowych informacji o przetwarzaniu danych i prawach osób obserwowanych (odnośnik do IOD, punktu kontaktowego, strony internetowej, numeru telefonu itd.)[1].
Ponadto, administrator powinien w łatwo dostępnym miejscu (wskazanym w informacji warstwowej określonej powyżej) udostępnić pełną informację o przetwarzaniu danych osobowych.
Warto również przeczytać:
https://paluckiszkutnik.pl/jak-przedsiebiorca-powinien-postepowac-podczas-kontroli-uodo-czy-potrzebna-mu-reprezentacja/
6. Nieodpowiednia umowa powierzenia
Prowadząc działalność firmy często współpracujesz z pewnością z innymi przedsiębiorstwami, dlatego konieczne jest, żebyś pamiętał o odpowiednim zabezpieczeniu dla danych, które są powierzane dalszym podmiotom.
Przeważnie przedsiębiorcy posiadają ustalone wzory umów powierzenia, które wykorzystują przy kolejnych działaniach. Nie zawsze jednak nasz wzór będzie właściwy i będzie pasował do danej współpracy. Co więcej zmieniają się przepisy lub wytyczne, technologia albo prostu firmy, z którymi zaczynasz współpracę mają inne oczekiwania i prowadzą nieco odmienną działalność niż inni Twoi klienci – wzór umowy może nie być odpowiedni dla danej współpracy. W takim wypadku kontrahenci mogą zwrócić się do Ciebie ze zwrotnymi pytaniami, które wymuszą wprowadzenie odpowiednich zmian do posiadanej umowy.
Pamiętaj, że jako odpowiedzialny administrator, musisz nieustannie dbać o bezpieczeństwo danych osobowych, jakie przetwarza Twoja firma.
[1] Porównaj: Monitoring wizyjny – aspekty techniczne. Jak realizować obowiązek informacyjny przy monitoringu wizyjnym?
