Jaką dokumentację ochrony danych osobowych powinien mieć agent i broker?

Specjalista: Tomasz Klemt

Stanowisko: aplikant radcowski w Kancelarii CZUBLUN TRĘBICKI

Data dodania: 17-04-2018

Wielu agentów i brokerów poszukuje dziś informacji, w jaki sposób powinni przygotować się do RODO, które będzie stosowane już od 25 maja 2018 roku. Odpowiedź na to pytanie zależy od kilku czynników, które zostaną przybliżone w niniejszym artykule.

Pierwszym z nich jest obecny stan spełniania wymogów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. RODO nie jest bowiem całkowitą rewolucją, szczególnie na polskim rynku, na którym funkcjonuje obecnie dość wysoki standard ochrony praw osób fizycznych. Dlatego, w gorszej sytuacji znajdują się podmioty, które do tej pory nie przywiązywały wagi do kwestii ochrony danych osobowych. W tym przypadku rekomendowane jest na początku zbadanie, gdzie i na jakiej podstawie są przetwarzane dane.

Wskazanym krokiem dla każdego podmiotu jest przygotowanie audytu otwarcia z wyszczególnieniem, co i w jaki sposób jest konieczne do zmiany. Na podstawie poczynionych ustaleń należy następnie przygotować lub zaktualizować odpowiednią dokumentację. W tym miejscu powstaje zwykle pytanie – czego właściwie nam potrzeba?

Odpowiedzi na to zagadnienie nie udziela niestety samo RODO, które ogranicza się do kilku dokumentów (m.in. rejestru czynności przetwarzania i umowy powierzenia). Aby jednak zrealizować zasady przetwarzania danych osobowych (tj. zgodność z prawem, rzetelność, przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność) z pewnością konieczne jest posiadanie szerszego katalogu procedur, instrukcji i wytycznych. Warto zaznaczyć, że nieco inną dokumentację powinien posiadać administrator (zwykle będzie nim broker oraz multiagent) a inną podmiot przetwarzający (zwykle będzie nim agent wyłączny). Poniżej prezentowany jest rekomendowany zestaw dokumentacji wraz z potencjalnymi skutkami jej braku:

  1. Polityka bezpieczeństwa – jej brak może stanowić naruszenie art. 24 ust. 1 i 2 RODO (administrator), art. 28 ust. 1 RODO (podmiot przetwarzający). Konsekwencje: odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
  2. Procedura realizacji praw podmiotów danych – jej brak może stanowić naruszenie art. 24 ust. 1 i 2 RODO w zw. z art. 12-23 RODO (administrator). Konsekwencje: odpowiedzialność odszkodowawcza administratora z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
  3. Procedura w przypadku naruszenia -  jej brak może stanowić naruszenie art. 32 ust. 1 w zw. z art. 33-34  RODO (administrator oraz podmiot przetwarzający), stanowiąc ryzyko braku odpowiedniej reakcji w przypadku powstania incydentu z zakresu ochrony danych osobowych. Konsekwencje: odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
  4. Instrukcja zarządzania systemami informatycznymi (w przypadku ich posiadania) - jej brak może stanowić naruszenie art. 32 ust. 1 RODO (administrator oraz podmiot przetwarzający). Konsekwencje: odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
  5. Upoważnienie do przetwarzania dla pracowników/współpracowników oraz ewidencja osób upoważnionych i oświadczenie upoważnionego pracownika  - ich brak może stanowić  naruszenie art. 24 ust. 1 w zw. z art. 29 RODO. Konsekwencje: odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
  6. Rejestr czynności przetwarzania – jego brak będzie stanowił naruszenie  art. 30 ust. 1 RODO (administrator), art. 30 ust. 2 RODO (podmiot przetwarzający). Skutki - odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu. Obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowychlub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
  7. Umowa powierzenia – jej brak stanowi naruszenie art. 28 ust. 3 RODO (administrator, podmiot przetwarzający podpowierzający przetwarzanie danych osobowych). Konsekwencje: odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
  8. Instrukcja zarządzania kopiami zapasowymi (w przypadku ich tworzenia)- art. 32 ust. 1 RODO (administrator oraz podmiot przetwarzający). Konsekwencje: odpowiedzialność odszkodowawcza administratora i podmiotu przetwarzającego z art. 82 RODO, odpowiedzialność administracyjna – do 10 mln EUR / 2% światowego obrotu.
Komentarze (0)
lista opinii