RODO
Informacja dotycząca stosowania
Rozporządzenia o ochronie danych osobowych
Aby prawidłowo zastosować obowiązki wynikające z unijnego Rozporządzenia o Ochronie Danych
Osobowych będą Państwo musieli zastosować się do następujących uregulowań.
I. DANE OSOBOWE PRZETWARZANE PRZEZ FIRMĘ JAKO ADMINISTRATORA DANYCH OSOBOWYCH
ORAZ DANE OSOBOWE PRZETWARZANE JAKO PODMIOT PRZETWARZAJĄCY.
Dane osobowe mogą być przetwarzane przez Państwa firmę na dwa sposoby.
Jeżeli samodzielnie lub wspólnie z innymi osobami/podmiotami ustalają Państwo cele i sposoby
przetwarzania danych osobowych, są Państwo administratorem danych w odniesieniu do tych
danych osobowych (np. przetwarzanie danych osobowych własnych pracowników).
Jeżeli przetwarzają Państwo dane osobowe w wyniku powierzenia przetwarzania przez inny podmiot,
będący administratorem danych, są Państwo w odniesieniu do tych danych przetwarzającym dane
osobowe (tzw. „procesorem danych” lub „podmiotem przetwarzającym”).
II. ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH
Przy uzyskiwaniu zgody na przetwarzanie danych osobowych proszę korzystać z przesłanych przez
Eproco wzorów zgody. Zawierają one wszystkie wymagane prawem elementy, które są niezbędne
do legalnego przetwarzania danych osobowych. Jeżeli dotychczas przetwarzali Państwo dane
Pracowników bądź Klientów w oparciu o uzyskaną wcześniej zgodę na przetwarzanie danych
osobowych, proszę porównać, czy treść udzielonych uprzednio zgód zawiera wszystkie wskazane
przez Eproco wymogi. Jeżeli te warunki nie są spełnione, należy uzyskać nową zgodę na
przetwarzanie danych osobowych. Wzór zgody przesłany przez Eproco można dostosować do
własnych potrzeb.
III. REJESTR CZYNNOŚCI PRZETWARZANIA
Wszelkie kategorie czynności przetwarzania przez Państwa danych osobowych (dane osobowe, dane
pracowników) muszą być wprowadzane do rejestru czynności przetwarzania danych i na bieżąco w
tym rejestrze uzupełniane.
Rejestr może być prowadzony w formie pisemnej, jak i w formie elektronicznej. Rejestr trzeba
udostępniać na każde żądanie organu nadzorczego.
Eproco w ramach przesłanej dokumentacji wypełniło załączony rejestr o podstawowe czynności
przetwarzania, które jednak muszą Państwo zweryfikować czy zawierają one opis wszystkich
procesów zachodzących u Państwa w związku z przetwarzaniem danych osobowych.
Jeśli przetwarzają Państwo dane osobowe jako podmiot przetwarzający to zobowiązani są Państwo
do prowadzenia drugiego rejestru czynności przetwarzania danych jako podmiot przetwarzający. W
tym rejestrze należy wskazać dane każdego z administratorów danych – z uwagi na możliwą ilość tych
administratorów, Eproco proponuje wykaz administratorów zamieścić w załączniku do tego rejestru.
IV. ZATRUDNIENIE INSPEKTORA OCHRONY DANYCH
W Państwa przypadku zatrudnienie Inspektora Ochrony Danych nie jest wymagane.
V. UMOWA POWIERZENIA PRZETWARZANIA DANYCH
Powierzenie danych osobowych przez administratora do podmiotu przetwarzającego wymaga
zawarcia stosownej umowy powierzenia przetwarzania danych osobowych. Co do zasady, podpisanie
takiej umowy leży głównie w interesie podmiotu przetwarzającego, gdyż to on musi wykazać się
podstawą do przetwarzania tych danych, jednakże w umowie tej zapisane są zasady przetwarzania
danych, o które musi dbać również administrator tych danych. Wzór takiej umowy został przekazany
przez Eproco do wykorzystania.
Do podmiotów, z którymi nie mają Państwo podpisanej umowy, Eproco proponuje wystosować
pismo z prośbą o wskazanie podejmowanych działań celem ochrony danych osobowych (projekt
pisma znajduje się z Polityce). Duże podmioty dokonują stosownych zapisów dot. przetwarzania
danych osobowych w swoich regulaminach, co wyłącza konieczność podpisywania umów w każdym z
tych podmiotów. Przykładem takich firm mogą być firmy kurierskie, dostawcy poczty internetowej
itp.
VI. POLITYKA OCHRONY DANYCH OSOBOWYCH, POLITYKA CZYSTEGO BIURKA
Aby zapewnić jak najszerszą ochronę danych osobowych, proszę wdrożyć w firmie politykę ochrony
danych osobowych, a także politykę czystego biurka, zgodnie z wzorem przedstawionym przez
EPROCO. Te regulacje powinny zostać przedstawione każdemu pracownikowi w firmie, uwzględniając
zakres obowiązków służbowych pracownika. Przed wdrożeniem całej Polityki ochrony danych należy
zweryfikować czy wszystkie informacje i procedury opisane przez Eproco są zgodne z Państwa
działalnością i organizacją firmy – w razie rozbieżności należy je dostosować do Państwa procedur lub
Państwa procedury dostosować do opisów wdrożonej już Polityki.
VII. POSTĘPOWANIE W PRZYPADKU UTRATY DANYCH OSOBOWYCH
W przypadku wycieku danych osobowych przetwarzanych przez firmę należy zgłosić naruszenie
danych, według przedstawionego formularza. Jeżeli firma przetwarzała dane swoich Pracowników
bądź Klientów, naruszenie danych należy zgłosić Prezesowi Urzędu Ochrony Danych Osobowych.
Jeżeli firma przetwarza dane osobowe powierzone przez inny podmiot (np. wykonując obsługę
księgową firmy), zgłoszenie naruszenia danych należy wykonać wobec podmiotu, który przekazał
dane osobowe.
O fakcie utraty danych należy również poinformować właściciela danych osobowych.
Zgłoszenia naruszenia danych należy dokonać w ciągu 72 godzin od stwierdzenia naruszenia.
W formularzu trzeba podać jakie dane uległy wyciekowi, wskazać osobę, której dotyczą utracone
dane, możliwe konsekwencje naruszenia ochrony danych oraz jakie kroki podjęto w celu zaradzenia
naruszeniu ochrony danych.
VIII. REJESTR NARUSZEŃ DANYCH OSOBOWYCH
Wszelkie naruszenia danych osobowych muszą zostać odnotowane w Rejestrze Naruszeń Danych
Osobowych, zgodnie z przekazanym w załączeniu wzorem. Rejestr może być prowadzony w formie
pisemnej, jak i w formie elektronicznej. Rejestry te trzeba udostępniać na każde żądanie organu
nadzorczego.
IX. WYTYCZNE W ZAKRESIE DOSTOSOWANIA SPOSOBU KORZYSTANIA Z SYSTEMÓW
INFORMATYCZNYCH DO RODO
Eproco przesyła dodatkowo wytyczne w zakresie dostosowania Państwa systemów informatycznych
do wymagań RODO. Jest to otwarty zbiór podpowiedzi na co należy zwrócić uwagę podczas
zabezpieczania Państwa systemów oraz pewne podpowiedzi jak to osiągnąć. Wytyczne te należy
omówić z Państwa informatykiem, który powinien zadbać o bezpieczeństwo Państwa infrastruktury
IT. Przy wdrażaniu zabezpieczeń w Państwa firmie należy wziąć pod uwagę Państwa możliwości
techniczne oraz ekonomiczne, gdyż RODO nakazuje dostosować zabezpieczenia do możliwości
danego podmiotu oraz możliwego ryzyka naruszenia danych osobowych. Dokumentacja
przygotowana przez Eproco oraz jej działania nie dotyczą zabezpieczenia Państwa systemów IT –
należy je wykonać we własnym zakresie.
X. PODPISY PRACOWNIKÓW
Każdy z Państwa pracowników, który przetwarza dane osobowe powinien otrzymać upoważnienie do
takiego przetwarzania (załącznik nr 2 do Polityki) – należy więc zebrać podpisy od pracowników, że
otrzymali upoważnienie do przetwarzania danych osobowych, które zawiera również informację, że
zapoznali się z treścią Polityki ochrony danych osobowych wdrożonej w Państwa firmie.
Upoważnienia podpisane przez pracowników należy przechowywać do wglądu w razie kontroli.
Jednocześnie Eproco przygotowało klauzulę poufności dla pracowników, by dane osobowe, do
których mają dostęp zachowali w tajemnicy (załącznik nr 3 do Polityki).
XI. ZBIÓR INFORMACJI DLA PRACOWNIKÓW
Każdy z pracowników musi zapoznać się z Polityką ochrony danych osobowych w Państwa firmie, w
której opisane są wszystkie procedury obowiązujące w firmie. Niemniej jednak, zachęcamy do
dodatkowego poinformowania wszystkich pracowników o najważniejszych zasadach – Eproco
przesyłam Państwu propozycję wiadomości e-mail do pracowników w najważniejszymi informacjami.
Wiadomość ta nie jest niezbędna, jednak może przełożyć się na bezpieczeństwo Państwa danych
osobowych.
XII. STRONY INTERNETOWE
Jeśli Państwa firma posiada stronę internetową, na której znajdują się formularze kontaktowe lub
istnieje możliwość zapisania się do newslettera, to należy dostosować Państwa stronę internetową
do wymogów RODO. Najprostszym rozwiązaniem jest dodanie zarówno przy formularzu
kontaktowym jak i przy newsletterze dodatkowej opcji do zaznaczenia (checkbox), że osoba
korzystająca ze strony internetowej wyraża zgodę na przetwarzanie jej danych osobowych w związku
z zapytaniem ze strony internetowej lub zapisem do newslettera z jednoczesnym odwołaniem do
Polityki w tym zakresie umieszczonej na stronie internetowej (link aktywny do Polityki na stronie
internetowej). W tym zakresie należy dokonać zmian na stronie lub weryfikacji istniejących rozwiązań
we współpracy z osobą, która zarządza Państwa stroną internetową. Należy zwrócić uwagę, że
checkbox nie może być domyślnie zaznaczony – osoba korzystająca z formularza musi samodzielnie
zaznaczyć tą opcję.
Powyższe informacje oraz dokumentacja przekazana w ramach wdrażania unijnego Rozporządzenia o
Ochronie Danych Osobowych została przygotowana na podstawie przekazanych przez Państwa
informacji.
Jeśli w przekazanej Państwu dokumentacji jakiś fragment tekstu jest podświetlony na kolor
turkusowy, to przed podpisaniem takiego dokumentu należy podświetlony fragment dostosować do
specyfiki Państwa firmy lub konkretnej umowy – Eproco nie posiada wszelkich informacji o Państwa
firmie lub informacje to nie były niezbędne do przygotowania dokumentacji, stąd konieczność
dostosowania dokumentu przez Państwa do własnych potrzeb.
Informuję, że jako Administrator Danych Osobowych są Państwo zobowiązani do śledzenia zmian
w obowiązkach dotyczących ochrony danych osobowych i odpowiedniego aktualizowania
stosowanych rozwiązań. W tym celu najlepiej wyznaczyć w Państwa firmie 1 osobę (właściciela firmy
/ konkretnego pracownika), który odpowiedzialny będzie za weryfikowanie procedur obowiązujących
w Państwa firmie, gdyż „RODO żyje” i należy weryfikować Politykę ochrony danych i w miarę
konieczności dokonywać modyfikacji jej zapisów.
Dokumentacja, którą należy stosować w związku z wdrożeniem Rozporządzenia o ochronie danych
osobowych:
1. Polityka ochrony danych,
2. Polityka czystego biurka,
3. Rejestr czynności przetwarzania danych osobowych,
4. Rejestr naruszeń przetwarzania danych osobowych,
5. Klauzula informacyjna o przetwarzaniu danych osobowych,
6. Zgoda na przetwarzanie przetwarzania danych osobowych,
7. Zgłoszenia naruszenia przetwarzania danych:
a. Do Prezesa Urzędu Ochrony Danych Osobowych,
b. Do Administratora Danych,
c. Do Właściciela utraconych danych;
8. Pismo o podanie zastosowanych środków ochrony danych do podmiotów
przetwarzających dane osobowe,
9. Umowa o powierzenie przetwarzania danych osobowych,
10. Informacja dotycząca postępowania w zakresie rozporządzenia o ochronie danych
osobowych.
