Ewidencja osób upoważnionych do przetwarzania danych osobowych
Ewidencja ta jest prowadzona w formie listy osób, która powinna być zdeponowana u Administratora Bezpieczeństwa Informacji lub w przypadku jego braku, powinna znajdować się u osób odpowiedzialnych za zarząd firmą. W ewidencji tej powinny znaleźć się wszystkie osoby mające styczność z danymi osobowymi klientów – w szczególności osoby pobierające te dane, jak np. sprzedawcy. Ewidencja powinna być prowadzona w sposób ciągły tj. kolejne osoby powinny być dopisywane do listy, a utrata upoważnienia (np. z powodu odejścia z firmy) powinna być odnotowana wstawieniem daty utraty upoważnienia.
Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obowiązek zgłoszenia bazy danych klientów mogą przewidywać także umowy autoryzacyjne z importerami pojazdów. Należy pamiętać że nawet jeżeli umowa autoryzacyjna zobowiązuje do przekazywania wszystkich danych klientów importerowi i ich natychmiastowego wprowadzania do centralnego systemu, to jeżeli w jakiejkolwiek formie pozostają one u dealera, to i tak stanowią oddzielną bazę danych i istnieje obowiązek jej rejestracji.
Poniższy przewodnik pokazuje krok po kroku jak dokonać rejestracji posiadanej bazy danych klientów na platformie elektronicznej Generalnego Inspektora Ochrony Danych Osobowych (e-GIODO).
Upoważnienie do przetwarzania danych osobowych
Ażeby znaleźć się w ewidencji oraz w ogóle żeby mieć dostęp do danych osobowych należy zostać upoważnionym do tego przez osobę reprezentującą administratora danych lub Administratora Bezpieczeństwa Informacji (jeśli został powołany). Upoważnienie to powinno być udokumentowane według poniższego wzoru a dokument upoważnienia powinien być przechowywany jako załącznik do ewidencji.
Wyznaczenie administratora bezpieczeństwa informacji
Administrator bezpieczeństwa Informacji (popularny skrót – ABI) jest pełnomocnikiem firmy w zakresie ochrony danych osobowych i to zarówno w stosunkach wewnętrznych jak i zewnętrznych. Nadzoruje on przestrzeganie obowiązków zabezpieczenia danych osobowych oraz zasad ochrony danych osobowych, stosując odpowiednie środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Powołanie ABI jest fakulatywne, a w przypadku jego niepowołania, funkcję tę pełni sam administrator danych (mieści się to w zakresie kompetencji osób zarządzających firmą). Funkcję ABI może pełnić zarówno pracownik firmy, jak i osoba spoza niej. Oczywiśce w przypadku kiedy jest to pracownik firmy, zasadne jest wpisanie tej funkcji do jego zakresu obowiązków.
Ustawa o ochronie danych osobowych nie precyzuje, jakie dokładnie wymagania kwalifikacyjne powinna spełniać osoba realizująca funkcję ABI. Przyjąć należy, że ABI zasadniczo winien posiadać odpowiednią wiedzę w dziedzinie informatyki i bezpieczeństwa systemów informatycznych, która pozwoli mu na zaznajomienie się z funkcjonowaniem systemu informatycznego służącego do przetwarzania danych osobowych u administratora danych, choć nie musi mieć wykształcenia kierunkowego (np. informatycznego czy prawniczego).
Przewodnik dla dealerów samochodów po postępowaniu kontrolnym Generalnego Inspektora Ochrony Danych
Przewodnik szczegółowo opisuje jak wygląda kontrola przestrzegania przepisów o ochronie danych osobowych w firmie przeprowadzana przez Generalnego Inspektora Ochrony Danych osobowych. W przewodniku został szczegółowo opisany zakres kontroli, uprawnienia kontrolne oraz przebieg samej procedury. Wskazano również kwestie na które należy zwracać uwagę, żeby jak najlepiej „wypaść” przed kontrolerami.
Firma Standarder Sp. z o.o. z siedzibą w Katowicach przygotowała ofertę handlową mającą na celu dostosowanie przedsiębiorstwa do wymogów ustawy o Ochronie Danych Osobowych. Podjęte działania mają na celu w krótkim czasie pomóc zrzeszonym dealerom dostosować bieżącą działalność do przepisów ustawy o ochronie danych osobowych, a co za tym idzie uniknięcie poważnych konsekwencji w sytuacji kontroli GIODO.
Rzetelne i fachowe wsparcie eksperckiej firmy Standarder Sp. z o.o w zakresie dostosowania bieżącej działalności do wymogów obowiązujących przepisów ustawy o ochronie danych osobowych, obejmuje audyt, opracowanie dokumentacji i szkolenia. Audyt systemu ochrony danych osobowych, jest po prostu „symulacją” rzeczywistej kontroli inspektorów Generalnego Inspektora Ochrony Danych Osobowych, gdzie doświadczeni pracownicy firmy eksperckiej zaledwie w przeciągu kilku dni mogą ocenić takie elementy systemu ochrony danych osobowych jak: stan zabezpieczenia systemów informatycznych, polityk, tajemnice przedsiębiorstwa, stosowanie odpowiednich procedur zapewniających bezpieczeństwo informacji czy obieg dokumentacji w firmie. Po przeprowadzeniu audytu powstaje końcowy raport pokontrolny, który szczegółowo określa obszary, które należy uaktualnić wraz ze wskazaniem uchybień oraz sposobów ich naprawienia.