Spis treści
Wdrożenie RODO
W swojej pracy często słyszymy frazę – „jak wprowadzić RODO?”, co prawda jest to zagadnienie rozległe wymagające odpowiedniej wiedzy techniczno – prawnej, umiejętności oraz doświadczenia, ale postaramy się je przybliżyć – mianowicie co kryje się pod słowami – wprowadzić RODO. W naszym krótkim poradniku rozpoczniemy od analizy i wyjaśnienia czym jest RODO, a następnie umówimy pokrótce specyfikę jego wdrożenia.
- Audyt RODO: pomoże nam dobrać środki ochrony danych oraz wykaże czy przetwarzamy dane zgodnie z przepisami ochrony danych.
- Szkolenie pracowników: dobrze przeszkoleni pracownicy to połowa sukcesu. Znajomość przepisów oraz zasad przetwarzania danych stanowi ważną podstawę przetwarzania danych osobowych.
- Ochrona danych: zgodnie z RODO każdy administrator powinien wdrożyć odpowiednie środki organizacyjne lub techniczne.
- Rejestry: odpowiednio zaprojektowane rejestry ułatwiają spełnienie obowiązku rozliczalności podczas kontroli ze strony UODO.
- Analiza ryzyka: przeprowadzona analiza ryzyka pokaże nam czy obecnie środki bezpieczeństwa mają szansę obniżyć lub ograniczyć ryzyko wystąpienia konkretnego zdarzenia, zagrażającego bezpieczeństwu przetwarzania danych osobowych w Twojej organizacji.
- Dokumentacja: dokumentacja pozwala znacznie uprościć wykazanie przestrzegania przepisów ochrony danych osobowych - art. 5 ust. 2 RODO.
Jak wdrożyć RODO? Historia RODO
W styczniu 2012 roku Komisja Europejska wydawała projekt ogólnego rozporządzenia o ochronie danych („RODO”), rozpoczynając czteroletni cykl debat, lobbingu i rokowań w skali nieznanej dotychczas w całej historii Unii Europejskiej. Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) zostało wydane 27 kwietnia 2016 roku, otrzymując niespełna dwuletnie Vacatio Legis, ostatecznie wchodząc w życie 25 maja 2018 roku.
Liczące ponad 200 stron rozporządzenie jest obecnie jednym z najbardziej rozbudowanych źródeł prawa uchwalonych przez Unię Europejską w ostatnich latach, mimo faktu, iż utrzymało w mocy prawnej ok. 80% dotychczasowych rozwiązań, postanowiono wprowadzić pewne zmiany i to te zmiany są dla nas znaczące. Mowa tu o prawach podmiotów danych (m.in. prawie do bycia zapomnianym, przenoszalności danych, zgłoszeniu naruszeń ochrony danych osobowych do organu nadzorczego), nowym obowiązku powołania Inspektora Ochrony Danych (IOD) oraz o zasadach dotyczących przetwarzania danych i najbardziej kłopotliwej z nich rozliczalności – umieszczonej w art. 5 ust. 2 RODO. Na mocy zasady rozliczalności na Administratorze danych osobowych, oprócz odpowiedzialności za przestrzeganie przepisów przetwarzania danych osobowych spada odpowiedzialność wykazania takiego przestrzegania i tym zajmujemy się po części w Ratio-Go.
Wykazać przestrzeganie przepisów przetwarzania danych osobowych musimy rozpocząć od wprowadzenia RODO w strukturę naszej działalności. Należy jednak pamiętać, że każda działalność ma własny specyficzny obszar oraz zakres przetwarzania danych osobowych. Inaczej będzie wyglądać wprowadzenie RODO w podmiocie publicznym, a prywatnym. Nawet po rozdzieleniu podmiotów na publiczne i prywatne – nie pomoże w znalezieniu jednej receptury. Innych działań będzie wymagać wprowadzenie RODO w jednostce oświatową wychowawczej, a jednostkach organizacyjnych systemu opieki zdrowia. Porównując podmioty prywatne również różnić się będzie specyfika wprowadzania RODO w korporacji, w studiu fotograficznym a w prywatnym gabinecie kosmetologicznym, podane podmioty różnią się przede wszystkim rodzajem, zakresem oraz ilością przetwarzanych danych.
Podajemy więc przykładowe działania, które można/należy podjąć by w momencie kontroli ze strony Urzędu Ochrony Danych Osobowych móc przestrzeganie RODO wykazać:
- Wykonanie analizy ryzyka
- Przeprowadzanie szkoleń dla pracowników
- Stworzenie rejestru czynności przetwarzania i rejestru kategorii przetwarzania
- Zamieszczenie Obowiązku Informacyjnego na witrynie internetowej
- Posiadanie umów powierzenia przetwarzania danych osobowych – ważne jest by każdy podwykonawca przetwarzający dane osobowe miał zawartą umowę powierzenia wraz z jasno określonym zakresem czynności
- Wykonanie/aktualizowanie rejestru upoważnień do przetwarzania danych osobowych
- Wykonanie/aktualizowanie rejestru naruszeń ochrony danych osobowych – jest to wymóg Urzędu Ochrony Danych Osobowych
- Zaprojektowanie procedur oceny i notyfikacji naruszeń ochrony danych osobowych
- Zaktualizowanie Polityki Ochrony Danych oraz Polityki Prywatności
- Zaplanowanie corocznych Audytów i przeglądów sposobów ochrony i przetwarzania danych osobowych, w poszczególnych jednostkach organizacyjnych
- Zaprojektowanie procedury ocen ryzyka, oceny skutków i wyskalowania poziomu ryzyka przetwarzania danych osobowych
- Zaprojektowanie klauzuli informacyjnej dla właścicieli danych osobowych
- Udokumentowanie raportów z oceny skutków, rejestru naruszeń, analiz ryzyka, audytów – dokumentacja, tudzież elektroniczna, bądź w formie papierowym jest z najlepszych i najwygodniejszych sposobów wywiązania się z zasady rozliczalności
Sprawdź:
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.