PODRĘCZNIK UŻYTKOWNIKA – Przygotowanie organizacji do pracy z LEX Compliance RODO

25 listopada 2020

Praca Inspektora Ochrony Danych Osobowych (IODO), wiąże się z koniecznością właściwej organizacji pracy, a także kontrolowania wielu działów, w których dochodzi do jakichkolwiek czynności związanych z danymi osobowymi, tak klientów jak i własnych pracowników.

Inspektor Ochrony Danych Osobowych to osoba, której zadaniem jest nadzór nad poszczególnymi procesami związanymi z danymi osobowymi. Oczywistym jest, że procesy te – w większości przypadków – nie ograniczają się jedynie do jednego działu. Większość organizacji przetwarza dane osobowe w różnych miejscach, przy okazji wielu działań, z wykorzystaniem różnorodnych narzędzi. Wszystkie te miejsca, okazje i narzędzia, powinny być więc pod stałym nadzorem IODO.

Nie oznacza to jednak, że IODO jest funkcją, która ma wszystkie działania wykonywać samodzielnie. IODO jest stanowiskiem nadzorującym, pełniącym funkcję swoistego łącznika pomiędzy pracownikami a dyrekcją, a także – w sytuacji kontroli z Urzędu Ochrony Danych Osobowych – łącznikiem pomiędzy organizacją o wspomnianym organem nadzorczym. Zadaniem inspektora jest weryfikacja obecnych w firmie procesów, analiza zagrożeń, przewidywanie następstw, przygotowywanie procedur naprawczych i raportowanie działań kierownictwu organizacji.

Inspektor Ochrony Danych Osobowych powinien być więc osobą, do której nie tylko należy w pierwszej kolejności zgłaszać potencjalnie niebezpieczne sytuacje związane z danymi osobowymi, ale jest też pierwszą osobą, która podejmuje kroki w celu zapobiegnięciu negatywnych następstw tychże sytuacji.

image.png

Poznaj swoją organizację

Aby efektywnie nadzorować działanie organizacji – nie tylko w kontekście ochrony danych osobowych – należy poznać jej specyfikę, działy, stanowiska, a także zweryfikować obecne działanie w kontekście bezpieczeństwa danych osobowych. Najłatwiej jest to zrobić przeprowadzając wywiad z poszczególnymi działami, które pomogą IODO w określeniu zakresu przetwarzanych danych. Dobrą praktyką jest przygotowanie przez poszczególne działy rejestru czynności przetwarzania, który to potem rejestr jest weryfikowany przez IODO i wprowadzany do systemu Lex Compliance Rodo.

Przygotowanie takiej dokumentacji stanowić może wyzwanie, szczególnie w organizacjach, które do tej pory nie analizowały własnych działań w kontekście ochrony danych osobowych. Konieczność stworzenia Rejestru czynności przetwarzania – oprócz tego, że będąca wymogiem prawnym – jest także świetnym pretekstem do poznania procesów, doszlifowania i poukładania ich, co w perspektywie działalności organizacji może przynieść wymierne korzyści. Dobrze określone, wdrożone – i co najważniejsze realnie działające – procesy, pozwalają na podnoszenie standardu pracy, świadczonych usług, umożliwiają minimalizowanie – a czasem i całkowitą eliminację – zagrożeń.

Stworzenie Rejestru czynności przetwarzania, jest nie tylko obowiązkiem nałożonym prawnie, ale także przyczynkiem do pogłębionej analizy działalności jednostki, z uwzględnieniem problemów trapiących ją na różnych etapach przetwarzania danych osobowych.

Rejestr Czynności Przetwarzania (a także Rejestr Kategorii Czynności Przetwarzania w zależności od roli jaką mamy w danym procesie), staje się więc wyznacznikiem i podstawowym dokumentem, od którego należy zacząć przygotowanie organizacji do wdrożenia wysokich standardów przetwarzania danych osobowych.

Samo pojęcie „wdrażanie RODO”, z którym tak często można spotkać się w codzienności różnorodnych organizacji, powinno być raczej, rozumiane jako szereg pozytywnych zmian, mających na celu podniesienie standardów działania, z uwzględnieniem świadomości pracowników, budowania poczucia bezpieczeństwa organizacji, a nie jako przymus, który nie przyniesie dobrych następstw.

Na etapie wdrażania systemu Lex Compliance Rodo w swojej organizacji, warto zapoznać się z elementami Struktury Organizacyjnej oraz Słowników, które są dostępne z lewej strony ekranu. To właśnie te elementy umożliwiają dokładne odzwierciedlenie faktycznej pracy organizacji, co pozwala na lepsze poznanie tych miejsc, w których dane osobowe są, w jakiejkolwiek formie przetwarzane. Mnogość elementów Struktury, zawartej w systemie nie oznacza, że wszystkie one muszą być użyte przy opisie jednostki. Warto jednak – zapoznając się z nimi – odpowiedzieć sobie na pytanie, czy takie elementy faktycznie nie występują w organizacji, czy jednak znajdują się i faktycznie dochodzi tam do jakiegokolwiek przetwarzania.

Nasze strony www używają plików cookie. Korzystając z serwisu wyrażasz zgodę na politykę prywatności i cookies. Obsługę plików cookie możesz wyłączyć w ustawieniach przeglądarki. Zobacz jak to zrobić.

Aby ponownie wybrać temat, odśwież stronę