Jak dokumentować wewnętrzne zalecenia Inspektora ochrony danych osobowych?

Jedną z podstawowych zasad dotyczących przetwarzania danych osobowych jest zasada „rozliczalności”. Zgodnie z art. 5 ust. 2 RODO administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. Nie ulega wątpliwości, że najprostszym sposobem na rea­lizację zasady rozliczalności w praktyce jest po prostu dokumentowanie czynności dotyczących ochrony danych osobowych, zwłaszcza w sytuacjach spornych lub w takich, kiedy same przepisy RODO wymagają przygotowania odpowiedniej dokumentacji. Dotyczy to także zadań wykonywanych przez Inspektora ochrony danych osobowych (dalej: IOD).

Zadania IOD w zakresie monitorowania zgodności z RODO

Jednym z podstawowych zadań, jakie spoczywają na IOD zgodnie z art. 39 RODO, jest monitorowanie przestrzegania RODO i innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków. Ponadto IOD jest zobowiązany do podejmowania działań zwiększających świadomość personelu uczestniczącego w operacjach przetwarzania, w tym przeprowadzania szkoleń, a także przeprowadzania audytów. Dodatkowo istotnym obowiązkiem IOD jest także udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO.

Zgodnie z wytycznymi Grupy Roboczej art. 29 dotyczącymi IOD, rolą IOD jest wspieranie administratora danych przy przeprowadzaniu oceny skutków dla ochrony danych osobowych. W swoich wytycznych Grupa Robocza art. 29 wskazała, że zaleca administratorowi danych konsultowanie z IOD m.in.:

  • faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych,
  • metodologii przeprowadzenia oceny skutków dla ochrony danych,
  • faktu, czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych, czy też zlecić ją podmiotowi zewnętrznemu,
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą,
  • prawidłowości przeprowadzonej...

Dalsza część jest dostępna dla użytkowników z wykupionym planem