…. ale czy w ogóle musisz to robić i dlaczego?
Jedna z najważniejszych rzeczy, którą jako przedsiębiorca (administrator danych) będziesz musiał wykazać w razie kontroli urzędu (Urzędu ochrony danych osobowych) to ROZLICZALNOŚĆ danych osobowych, które znajdują się w Twojej formie.
Co to takiego rozliczalność danych osobowych?
To pełna wiedza administratora nt. danych osobowych, które wykorzystuje w swojej firmie, na dodatek wymagana jest od administratora dość … szeroka wiedza. Pewnie pomyślisz – ale ja nie mam danych osobowych, albo ja tylko mam dane które są mi potrzebne do prowadzenia mojej działalności, nic więcej z nimi przecież nie robię. I zgadza się, być może nie przechowujesz więcej danych niż jest Ci niezbędne, nie udostępniasz danych swoich klientów innym firmom, chronisz i zabezpieczasz swoje zasoby – tylko czy to wystarczy?
ROZICZALNOŚĆ – to inaczej pełna przejrzystość przetwarzania, zgodność z przepisami prawa, umiejętność wskazania jej zasadności i niezbędności, uzasadnienia okresu przez który dysponujesz danymi, zapewnienia poufności i integralności danym.
Jako przedsiębiorca, zobowiązany jesteś do wypełniania wielu obowiązków nałożonych przepisami prawa (podatki, składki, rachunkowość), a tu kolejny obowiązek – realizacja praw osób, których dane dotyczą. Prawa osób generują po Twojej stronie obowiązek – podstawowym prawem jest „bycie poinformowanym” , tzn. osoba, której dane dotyczą musi wiedzieć, że przetwarzasz jej dane, w jaki celu to robisz, na jakiej podstawie prawnej, jakiego rodzaju jej dane posiadasz i jak długo będziesz nimi dysponował. Możesz także pobrać wzór obowiązku informacyjnego z komentarzem, klikając https://tiny.pl/tg844
Jak zatem możesz się do tego przygotować?
Zacznij od inwentaryzacji (mapowania) procesów przetwarzania danych osobowych.
Procesy to powiązane ze sobą operacje (czynności), które prowadzą do przekształcenia informacji pozyskanej na wejściu w informacje wyjściowe.
Inwentaryzacja procesów polega na zebraniu pełnej informacji o wszystkich operacjach wykorzystujących dane osobowe, które wykonywane są w każdym obszarze Twojej firmy oraz o ich wzajemnych powiązaniach i wpływie.
Inwentaryzacja powinna dostarczyć informacji o:
- kategoriach (rodzajach) danych osobowych oraz osobach których one dotyczą (klienci, pracownicy, dostawcy…),
- celu przetwarzania i podstawie prawnej,
- przepływów danych wewnątrz i na zewnątrz firmy (ze wskazaniem podmiotów uczestniczących: pracowników, podwykonawców, państw trzecich – jeżeli do takich są przekazywane dane),
- aktywach firmy (w tym systemach IT, procedurach i regulaminach wewnętrznych)
- sposobów, czasu i miejsc przechowywania danych
- zastosowanych zabezpieczeń (fizycznych, technicznych, organizacyjnych)
Kto powinien przeprowadzić inwentaryzacje procesów?
Jeżeli nie zatrudniasz pracowników znających specyfikę Twojej działalności, którym możesz częściowo zlecić to zadanie – to niestety musisz zrobić to sam. Dlaczego? Ponieważ niezbędna jest szczegółowa wiedza na temat procesów w Twojej firmie. Oczywiście pewne procesy przebiegają bardzo podobnie w danej branży, ale podobnie to nie znaczy tak samo – a zmapować musisz Twoje procesy. Możesz także zatrudnić audytora, który przy Twojej pomocy / korzystając z Twojej wiedzy przygotuje mapę procesów.
Przykładowe procesy przetwarzania danych:
- dla zbioru danych Klientów:
- czynności związane z nawiązaniem współpracy,
- czynności związane z realizacja zawartej umowy (np. dostawa towaru, prowadzenie księgowości firmy),
- działania marketingowe,
- windykacja należności,
- rozpatrzenie reklamacji
- dla zbioru danych dostawców:
- czynności związane z realizacja zawartej umowy (np. zamówienie / dostawa towaru, prowadzenie rachunkowości firmy),
- czynności związane z weryfikacją i oceną dostawców
- dla zbioru danych pracowników:
- prowadzenie administracji kadrowo – płacowej,
- prowadzenie zgłoszeń i rozliczeń w ramach systemu ubezpieczeń społecznych
- prowadzenie ewidencji czasu pracy,
- prowadzenie ewidencji szkoleń BHP,
- prowadzenie ewidencji wypadków,
- przetwarzanie wizerunku pracowników,
- umożliwienie korzystania z dodatkowych benefitów
- dla zbioru danych kandydatów do pracy:
- prowadzenie bieżącej rekrutacji,
- przechowywanie aplikacji złożonych na potrzeby przyszłych procesów rekrutacji
- dla zbioru korespondencji:
- prowadzenie ewidencji korespondencji przychodzącej / wychodzącej
- dla zbioru monitoring:
- prowadzenie monitoringu dla celów zapewnienia bezpieczeństwa i ochrony osób i mienia na terenie firmy,
- prowadzenie monitoringu elektronicznej poczty służbowej pracowników,
- prowadzenie monitoringu GPS w samochodach służbowych, w celu zapewnienia bezpieczeństwa i ochrony mienia firmy
- dla działań w Internecie:
- subskrybenci Newsletter’a
- osoby przesyłające zapytania przez formularz na stronie www,
- osoby, które polubiły fanpage firmy
- konkursów
Inwentaryzacja / mapowanie procesów nie może być zbyt ogólne ani zbyt szczegółowe. Do każdego procesu musisz wskazać konkretny cel przetwarzania oraz podstawę prawną. Zakres danych osobowych może być w wielu procesach ten sam, ale np. okres przez który będziesz je przetwarzać czy podmioty, którym będziesz je udostępniać – inne.
Rejestr czynności przetwarzania
Zmapowane procesy najlepiej wprowadzić do Rejestru czynności przetwarzania danych (RCPD). Jest to dokument, do prowadzenia którego zobowiązane są większe podmioty lub takie które przetwarzają dane szczególnych kategorii. Jednak rekomendujemy prowadzenie tego rejestru nawet małym, jednoosobowym działalnościom gospodarczym. Ponieważ świadczyć on będzie o Twoim świadomym i odpowiedzialnym podejściu do danych osobowych, a dla Ciebie będzie ułatwieniem do wypełniania chociażby obowiązków wobec osób, których dane przetwarzasz.
RCPD przygotowujesz raz, i to może być sporo pracy, później zaś weryfikujesz i modyfikujesz w miarę wystąpienia zmian w przebiegu Twoich procesów. Wzór i przykłady wypełnienia RCPD znajdziesz w naszej dokumentacji https://tiny.pl/tg4sf
Jak możemy Ci pomóc?
Przygotowaliśmy dla Ciebie listę, która pomoże Ci opisać wszystkie procesy przetwarzania danych osobowych w Twojej firmie. W celu jej pobrania, zapisz się na nasz Newsletter : www.rodokontrola.pl Napisz w mailu potwierdzającym subskrypcję – prezent – chcecklista.