JAK WDROŻYĆ RODO W FIRMIE ?
System ochrony danych osobowych w naszym kraju uległ zmianom, które zaczęły obowiązywać już 25 maja 2018 r. w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych(…) określonego skrótowo jako RODO. Zmodernizowana Ustawa o Ochronie Danych Osobowych oraz zmiana Głównego Inspektoratu Danych Osobowych (GIODO) na Urząd Ochrony danych wzbudziły masę emocji, obaw oraz dyskusji podczas wdrażania Rodo.
Postanowiliśmy przedstawić zakres działań, jakie powinno się podjąć w tym zakresie. Dotyczy to zarówno sytuacji wdrożenia wymogów na “własną rękę” oraz opcji przy nawiązaniu współpracy z firmą zewnętrzną. Oba obszary choć dotyczą tej samej kwestii, mają sporo różnic głównie w zakresie i sposobie wdrożonych rozwiązań oraz wprowadzonej w system dokumentacji. Osobnym spektrum jest także powołanie lub nie Inspektora Ochrony Danych (IOD), rozpatrzeniu jego zadań oraz realnych korzyści płynących z jego obecności we wprowadzonym systemie bezpieczeństwa danych osobowych. Na rynku obecnie roi się od usług “zdalnych pseudo inspektorów”, pozornie darmowej dokumentacji oraz różnorodnych form nacisków jakie są wywierane na administratorów danych. Warto poświęcić chwilę uwagi na ten obszar, aby za chwilę nie okazało się, że zostało się po prostu “nabitym w butelkę”.
W procesie wdrażania Rodo należy uwzględnić szereg zmian oraz nowości jakie ono narzuca, tak aby Administrator Danych zgodnie z wymogami poufności, integralności oraz rozliczalności mógł wykazać zgodność z jego postanowieniami. Niektóre z wprowadzonych zmian, obecnie należy uwzględniać już na etapie projektowania systemów stosując odpowiednie środki techniczne i organizacyjne, oceniać także ryzyko bezpieczeństwa przetwarzanych danych oraz właściwie rejestrować prowadzone w tym zakresie czynności.
Jakie działania należy przeprowadzić wdrażając Rodo ? Oto większość z nich:
- Audyt obecnej dokumentacji bezpieczeństwa danych osobowych obejmujący analizę zgodności przetwarzania danych osobowych z wymaganiami obowiązującej ustawy o ochronie danych osobowych oraz wymaganiami stawianymi przez RODO, który wskaże zakres niezbędnych działań w kontekście wymagań stawianych przez RODO,
- Opracowanie wymaganej dokumentacji, wynikającej wprost z RODO lub Ustawy o Ochronie Danych Osobowych:
- rejestru czynności oraz rejestru czynności kategorii,
- klauzul informacyjnych,
- polityki prywatności oraz regulaminu stosowania monitoringu,
- upoważnień do przetwarzania danych,
- umów powierzenia przetwarzania danych,
- metodologii i oceny Ryzyka w zakresie ochrony danych osobowych.
- Opracowanie dokumentacji zalecanej, bądź będącej przejawem dobrych praktyk:
- Polityki czystego biurka,
- Instrukcji przetwarzania danych w systemie monitoringu,
- Instrukcji postępowania w przypadku cyberataku,
- Procedury postępowania w przypadku naruszenia,
- Procedury nadawania, zmiany i cofnięcia uprawnień,
- Procedury szkoleń w zakresie ODO,
- Procedury uprzednich konsultacji,
- Procedury realizacji praw osób,
- Procedury oceny skutków,
- Instrukcji korzystania z urządzeń przetwarzania mobilnego,
- Instrukcji niszczenia danych,
- Instrukcji postępowania przy przekazywaniu danych do państw trzecich,
- Instrukcji przeglądów polityki ochrony danych,
- Oraz innych załączników i wzorów.
- Opracowanie wzorów upoważnień do przebywania w obszarze przetwarzania danych osobowych, a także w zależności od potrzeb umów lub oświadczeń o zachowaniu poufności.
- Szkolenia kadry oraz pracowników w zakresie problematyki ochrony danych osobowych.
W przypadku organów lub podmiotów publicznych oraz przedsiębiorców, których główna działalność związana jest z monitorowaniem na dużą skalę osób lub zbieraniem szczególnych kategorii danych (dawniej „danych wrażliwych”), zachodzi konieczność powołania Inspektora Ochrony Danych ( IOD).
Powołany i zgłoszony do UODO Inspektor Ochrony Danych zapewnia:
- okresowe analizy ryzyka,
- wymagane audyty i przeglądy bezpieczeństwa danych osobowych,
- rejestrowanie incydentów i zgłaszanie ich do organu nadzorczego,
- nadzór nad prowadzeniem wymaganych rejestrów czynności przetwarzania danych,
- nadzór nad prowadzeniem właściwej dokumentacji z zakresu ochrony danych osobowych,
- reprezentowanie Klienta w zakresie przetwarzania danych osobowych,
- prowadzenie dedykowanych szkoleń dla pracowników.
Wdrożenia RODO nie powinno traktować jako przykrej konieczności. Działania podyktowanego najczęściej obawą przed wysokimi karami w przypadku ujawnionych zaniedbań. Poprawę bezpieczeństwa informacji oraz ochronę danych osobowych, warto wdrożyć mając na celu nie tylko zadbanie o bezpieczeństwo danych całej firmy, ale często również właściwe uporządkowanie już funkcjonującego systemu.
Zapraszamy do konsultacji prowadzonych przez nasze biuro, gdzie mogą Państwo rozwiać wszelkie nurtujące wątpliwości – szczegóły konsultacji TUTAJ.
Zapraszamy Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie ale także perfekcyjną obsługę klienta.
Opracowanie / Marek Mróz
Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych
Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.
Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,
Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,
Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,
Informatyka Śledcza – kupisz tutaj,
Profesjonalne testy penetracyjne – kupisz tutaj.