Wymiana zdań na Li z windykacją nasunęła mi koncepcję postu na ten temat. Oczywiście rozumiem chęć obrony firmy, która ma zarówno inspektora ochrony danych jak i prawnicy napisali im politykę ochrony danych osobowych, jednak nasuwa się kilka podstawowych pytań. Czy pracownik przetwarzający dane zna treść umowy powierzenia czy zna analizę ryzyka i czy zna treść testu balansu? Te fundamentalne pytania pozwalają jednoznacznie określić, jak firma zarządza danymi osobowymi.
Po pierwsze:
Te wszystkie informacje są niezbędne dla pracownika, aby wiedział co ma zrobić przy windykacji.
Brak znajomości tych informacji sugeruję, że firma nie przygotowała przetwarzania danych osobowych w zgodzie z RODO. A co za tym idzie może naruszać prawa i wolności osób których dane przetwarza.
Co ma zrobić pracownik, który pracuje w takiej firmie a nie ma takiej wiedzy?
Po pierwsze wypisuje sobie upoważnienie do przetwarzania danych osobowych które podpisuje mu administrator, czyli właściciel firmy lub bezpośredni przełożony, następnie prosi, najlepiej mailowo, bezpośredniego przełożonego i wysyłając do wiadomości inspektora ochrony danych o przekazanie mu umowy powierzenia, analizy ryzyka i testu balansu. Jeżeli bezpośredni przełożonych naskoczy na podwładnego to należy przede wszystkim wydrukować sobie swój zakres obowiązków podpisać go z datą i pozostawić sprawę przyszłości. Robi się tak dlatego aby mieć możliwość udowodnienia, że jako pracownik zrobiliście wszystko, aby przetwarzać zgodnie z RODO. To nie pracownik odpowiada za RODO, ale administrator czyli właściciel firmy natomiast pracownik ma tylko dopilnować że zrobił wszystko aby swój fragment przetwarzanie danych osobowych wykonywać zgodnie z ustawą i rozporządzeniem o RODO. Maile do przełożonego i inspektora ochrony danych czyli IODy należy wydrukować do pdf-u zachować na komputerze i najlepiej na jakiś dysk aby mieć zapewnioną rozliczalność że w tym zakresie zrobiliśmy wszystko co w naszej mocy. Tak przygotowani czekamy na „dzień sądu” czyli kontrolę UODO w tym zakresie.
