Jakie czynności są przetwarzaniem danych osobowych według RODO?
„Przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak np: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W Internecie będą to takie działania, jak prowadzenie fanpageów na profilach społecznościowych połączone z prowadzeniem dyskusji, przeglądaniem listy obserwujących, wysyłanie newsletterów, zbieranie danych poprzez formularz rejestracyjny itp.
Na czym polega rozliczalność przetwarzania danych osobowych według RODO?
Administrator danych osobowych ma obowiązek wdrożyć taki system ochrony danych, który będzie:
- gwarantował przetwarzane danych zgodnie z zadami przetwarzania danych według RODO
- zapewniał wykazanie przez Administratora, że w procesie przetwarzania danych osobowych przestrzega on zasad przetwarzania wynikających z RODO.
Ciężar oceny zagrożeń oraz doboru odpowiednich zabezpieczeń i wykazania przetwarzania danych w zgodzie z RODO spoczywa na Administratorze danych osobowych!!!
Sprostanie tym obowiązkom wymaga:
- wdrożenia środków (w tym wewnętrznych procedur, odpowiednich systemów) gwarantujących przestrzeganie przepisów o ochronie danych osobowych
- sporządzenia odpowiedniej dokumentacji związanej z procesami przetwarzania danych, która wskaże, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych
- okresowego weryfikowania skuteczności wdrożonych środków i uaktualniania przyjętych założeń i zastosowanych rozwiązań
Do obowiązków dokumentacyjnych według RODO należą:
- prowadzenie przez Administratora rejestru czynności przetwarzania (przez procesora – rejestru kategorii czynności przetwarzania)
- prowadzenie polityk ochrony danych, gdy Administrator uzna to za proporcjonalne
- zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych
- prowadzenie dokumentacji oceny skutków dla ochrony danych
- prowadzenie dokumentacji uprzednich konsultacji z organem nadzorczym
- prowadzenie dokumentacji transferowej