Zgodność z RODO


Tekst źródłowy rozporządzenia RODO


W celu zapewnienia zgodności programu z wymaganiami rozporządzenia o ochronie danych osobowych (RODO) w programie dokonano niezbędnych modyfikacji w celu właściwego zabezpieczenia przetwarzanych danych. Zdecydowana większość z wprowadzonych zabezpieczeń nie wymaga podejmowania przez użytkownika żadnych czynności poza aktualizacją programu. Wyjątkiem jest zabezpieczenie programu hasłem w przypadku, gdy sam komputer nie został zabezpieczony hasłem, lub gdy do komputera na którym zainstalowano program ma dostęp więcej niż jedna osoba. Wszystkich zmian związanych z uaktywnieniem weryfikacji użytkownika można dokonać w module ‘Administrator’ instalowanym razem z programem.


Można przyjąć, że minimalne wymagania rozporządzenia RODO zostaną przez posiadacza licencji wypełnione, jeśli:

(a) zaktualizuje program do najnowszej wersji,

(b) uaktywni weryfikację użytkownika w przypadku, gdy sam komputer nie został zabezpieczony hasłem, lub gdy do komputera ma dostęp więcej niż jedna osoba:
uaktywnienie weryfikacji użytkownika (ekran logowania)

(c) wydrukuje i zachowa przykładowy rejestr czynności przetwarzania danych:
przykładowy rejestr czynności przetwarzania (plik PDF)
przykładowy rejestr czynności przetwarzania (plik XLSX)


Wymagania RODO

Ogólnie wymagania związane z rozporządzeniem RODO można podzielić na cztery grupy: (1) wymagania dotyczące uwierzytelniania, (2) wymagania dotyczące funkcjonalności programu, (3) wymagania dotyczące zabezpieczenia technicznego i fizycznego, oraz (4) wymagania dotyczące prowadzenia dokumentacji.

Wymagania dotyczące uwierzytelniania: RODO nie precyzuje na czym takie wymagania miałyby dokładnie polegać. Za rozsądne można przyjąć następujące założenia: każdy użytkownik powinien posiadać indywidualny identyfikator i hasło do programu, identyfikator użytkownika, który utracił uprawnienia, nie powinien być przydzielony innej osobie, hasło do programu powinno składać się co najmniej z 8 znaków, zawierać małe i duże litery oraz cyfry lub znaki specjalne. W przypadku zapotrzebowania na większe restrykcje, można wymusić zmianę hasła nie rzadziej, niż np. co 30 lub 90 dni. Program spełnia wszystkie powyższe wymagania dotyczące uwierzytelniania – wszystkie opisane kwestie można w programie zrealizować wykorzystując moduł Administrator.

Wymagania dotyczące funkcjonalności programu: program zapewnia automatycznie odnotowanie daty oraz identyfikatora użytkownika dokonującego dodania, modyfikacji i usuwania danych osobowych, odnotowanie informacji o odbiorcach, którym dane zostały udostępnione oraz o dacie i zakresie udostępnienia, odnotowanie, jaka zgoda, kiedy i z jakimi ograniczeniami została wyrażona, odnotowanie informacji o dacie wniesienia sprzeciwu wobec przetwarzania danych osobowych. Program zapewnia również możliwość odnotowania, że osoba, której dane dotyczą, wniosła o ograniczenie ich przechowywania, oraz dostarczenie osobie, której dane dotyczą, jej własnych danych osobowych, w formacie wydruku PDF (wydruk kartoteki osobowej zatrudnionego). Program spełnia wszystkie powyższe wymagania dotyczące funkcjonalności.

Wymagania dotyczące zabezpieczenia technicznego i fizycznego: komputer z danymi powinien znajdować się w wydzielonym miejscu, zabezpieczonym przed utratą danych spowodowaną np. pożarem, zalaniem, włamaniem, nieuprawnionym wglądem, kradzieżą, na terytorium Europejskiego Obszaru Gospodarczego, powinny być tworzone regularne kopie zapasowe, zapis tych kopii nie powinien być przechowywany w pomieszczeniu, gdzie znajduje się komputer, z którego one pochodzą. Prawa dostępu przydzielone użytkownikom powinny być odbierane po zakończeniu zatrudnienia lub dostosowywane do zaistniałych zmian. Sprzęt powinien być chroniony przed awariami zasilania oraz innymi przerwami. Spełnienie wymagań zabezpieczenia technicznego i fizycznego leży w gestii użytkownika.

W programie jest automatycznie tworzony i przechowywany log zdarzeń rejestrujący działania użytkowników, oraz zdarzenia związane z bezpieczeństwem informacji. Przeglądanie logu aktywności użytkowników jest dostępne poprzez moduł ‘Administrator’ instalowany razem z programem.

Wymagania dotyczące dokumentacji: podmioty są zobowiązane do prowadzenia dwóch rejestrów:
(1) czynności przetwarzania danych, oraz
(2) kategorii czynności przetwarzania danych.

W odniesieniu do innych potencjalnie przydatnych dokumentów, można wymienić również upoważnienie do przetwarzania danych osobowych dla Administratora danych. Przykładowe upoważnienie powinno upoważniać do przetwarzania danych osobowych gromadzonych w aktach osobowych oraz w innych zbiorach, dotyczących danych osobowych kandydatów do pracy przetwarzanych w związku z procesem rekrutacji oraz danych osobowych pracowników i byłych pracowników przetwarzanych w związku z ich zatrudnianiem, powinno wygasać w przypadku rozwiązania umowy o pracę lub zmiany stanowiska przez Administratora, oraz zobowiązywać Administratora do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia

Ponieważ wielu użytkowników programu pyta również o formularz zgody pracownika na przetwarzanie danych osobowych, warto przypomnieć, że co do zasady, zgoda na przetwarzanie danych osobowych pracownika lub kandydata do pracy jest wymagana tylko wtedy, gdy pracodawca przetwarza dane, do których nie został umocowany na podstawie przepisów. Zgoda pracownika byłaby konieczna, gdyby pracodawca miał zamiar wykorzystywać dane osobowe pracownika w celach innych niż związane z zatrudnieniem.Jeśli pracodawca żąda od pracowników jedynie danych osobowych, których wymagają przepisy, nie potrzebuje zgody tych osób na ich przetwarzanie. Przykładowo zgody nie wymaga prowadzenie akt osobowych czy naliczanie listy płac, natomiast wymagałoby np. wprowadzenie rejestracji danych biometrycznych pracowników.

1. Rejestr czynności przetwarzania danych – rejestr prowadzi Administrator. Obowiązek prowadzenia rejestru czynności wynika z art. 30 ust. 1 rozporządzenia RODO. W rejestrze powinny znaleźć się następujące informacje:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

2. Rejestr kategorii czynności przetwarzania danych – rejestr prowadzą podmioty przetwarzające dane na zlecenie Administratora danych. W rejestrze kategorii czynności przetwarzania powinny być zawarte:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.