RODO

RODO, audyt RODO, szkolenie RODO, wdrażanie RODO

RODO (Rozporządzenie nr 2016/679 PE i RE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) nie jest żadną wielką rewolucją w stosunku do tego, czego wymagała od ADO ustawa o ochronie danych osobowych. RODO zmienia podejścia do ochrony danych osobowych i definiuje je jako: podejście oparte na ryzyku „risk based approach”. Wg tego podejścia, ADO ma zdefiniować ryzyka, jakie występują w jego przedsiębiorstwie w obszarze przetwarzania danych i na bazie analizy takich ryzyk, ma dobrać odpowiednie środki zabezpieczające dane.


Opracowujemy:

  • wymagane przez RODO rejestry;
  • zapewniające rozliczalność Administratora polityki i procedury;
  • prawidłowe obowiązki informacyjne
  • szkolimy personel z zasad przetwarzania danych
  • tłumaczymy o czym mówią zasady: privacy by desing, privacy by default, risk based approach

Poprawiamy:

  • błędną interpretację wymogów RODO - poprawnie określamy kto jest Administratorem a kto Procesorem
  • błędnie opracowane i wdrożone klauzule informacyjne
  • błędnie zakwalifikowane umowy powierzenia - powierzenie to nie to samo co udostępnienie

Jak poprawnie wdrożyć RODO?

  • Należy zinwentaryzować, jakie dane osobowe zbieramy i przetwarzamy w firmie?
  • Zobaczyć czy mamy podstawę do ich przetwarzania?
  • Ustalić czy jesteśmy Administratorem Danych czy też Podmiotem Przetwarzającym? Od prawidłowej identyfikacji roli w procesie przetwarzania zależy to, jakich obowiązków i zasad RODO musimy przestrzegać
  • Ustalić, komu i na jakiej podstawie ujawniamy dane osobowe, które przetwarzamy - identyfikacja odbiorców i podmiotów przetwarzających?
  • Opracować klauzulę informacyjnej zgodnej z RODO. Klauzula jest rozbudowana i wymaga podania wielu informacji, których dotąd nie musieliśmy podawać,
  • Dokonać inwentaryzacji umów z tzw. procesorami (wg RODO to podmioty przetwarzające), czyli firmy, które z nami współpracują i wykonują w naszym imieniu pewne czynności w procesie przetwarzania danych osobowych.

Jaką dokumentację wymaga RODO (wprost wymagane przez RODO):

  • Rejestr czynności przetwarzania,
  • Rejestr naruszeń,
  • Rejestr kategorii czynności przetwarzania (jeśli jesteśmy podmiotem przetwarzającym),
  • Analizę oceny ryzyka - w przypadku wielu rodzajów ADO jest to dokument obowiązkowy.

Jaką dokumentacje RODO należy mieć, aby wykazać się rzetelnością i rozliczalnością przy przetwarzaniu danych?

  • Polityka bezpieczeństwa informacji,
  • Instrukcja zarządzania systemem informatycznym,
  • Rejestr osób upoważnionych do przetwarzania,
  • Procedura zarządzania kluczami do pomieszczeń, w którym przetwarzamy dane,
  • Procedura, jeśli wymaga tego specyfika działalności ADO, np. procedura zarządzania nagraniami z monitoringu.
  • Procedura sprawdzania, czy nasze systemy informatyczne są przygotowane do wymogów dot. realizacji praw osób, których dane przetwarzamy: udzielanie informacji, przenoszenie danych do innego administratora, prawo do bycia zapomnianym)?
  • Procedura sprawdzania, czy nasze systemy rzeczywiście chronią dane by wywiązać się z zasady integralności i poufności - jakie stosujemy zabezpieczenia serwerów, stacji roboczych , telefonów i innych urządzeń oraz czy dla naszych danych są one wystarczające?
  • Zapisy umów dotyczących powierzenia do przetwarzania - RODO wymaga uzupełnienia tych zapisów o dodatkowe informacje m.in. o tym, co stanie się z danymi po zakończeniu umowy,

Jak przetwarzać dane osobowe w świetle RODO? Co to są dane osobowe?

Dane osobowe - zgodnie z art. 4 ust 1 RODO to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą).

Podział danych osobowych - dane szczególnej kategorii (wg RODO - dane wrażliwe):

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne,
  • dane o stanie zdrowia,
  • dane o seksualności lub orientacji seksualnej

Co oznacza przetwarzanie danych?

  • Przetwarzanie danych osobowych to wykonywanie jakiejkolwiek operacji na danych np. :
  • Wprowadzanie do systemu,
  • Wykorzystywanie do powtarzalnych operacji (np. naliczanie płac, wystawianie dokumentów, wysyłanie e-maili, korespondencji, wykonywanie telefonów itp.),
  • Składowanie danych na serwerze, wykonywanie back-up,
  • Obserwacja nagrań z monitoringu,
  • Archiwizacja danych

Czego RODO wymaga od administratorów danych osobowych?

RODO wymaga, aby w procesie przetwarzania danych osobowych, ADO byli rozliczani. Można to to wykazać opracowując i wdrażając odpowiednie procedury opisujące zasady przetwarzania danych (środki organizacyjne), zapewniając środki techniczne odpowiednie do rodzaju i skali przetwarzanych danych, a także stosownie do ryzyk, jakie zostaną zidentyfikowane w obszarze przetwarzania danych (zabezpieczenia systemów informatycznych oraz zabezpieczenia pomieszczeń w których przetwarzane są dane)


Audyt zerowy infrastruktury dotyczy m.in.:

  • SSWiN (system sygnalizacji włamania i napadu)
  • SKD (system kontroli dostępu)
  • Sygnalizacja PPOŻ. - teoretycznie w gestii administratora budynku. Przepisy wskazują jednak także na użytkownika. Do zmiany jest oznaczenie drzwi ewakuacyjnych w magazynie części.
  • Zabezpieczenia infrastruktury IT
  • Monitoring - systemy CCTV, monitoring poczty elektronicznej
  • Zabezpieczenia w systemach informatycznych
  • Procedura nadawania uprawnień dostępu do systemów informatycznych
  • Poziom bezpieczeństwa haseł w systemie informatycznym
  • Procedura tworzenia kopii zapasowych
  • Procedura korzystania ze służbowych laptopów oraz mobilnych nośników danych
  • Procedura korzystania z prywatnych laptopów oraz mobilnych nośników danych
  • Dokumentacja kadrowa
  • Wzory upoważnień do przetwarzania danych osobowych
  • Rejestr osób upoważnionych
  • Zawarte umowy dotyczące powierzenia przetwarzania danych osobowych
  • Deklaracje poufności
  • Przetwarzanie danych osobowych klientów
  • Umowy handlowe z firmami typu Dell, HP, Mecalit Rossmann, sądy czy inne organizacje samorządowe
  • Formularze służące do zbierania danych od klientów
  • Respektowanie praw klientów: prawa do sprzeciwu, cofnięcia zgody, prawa do informacji
  • Proces rekrutacji - zgodność z wymaganiami ustawy ODO
  • Zakup usług - podwykonawstwo
  • Poziom wiedzy pracowników
  • Zabezpieczenia budowlane i mechaniczne : uszczelnienie obszaru wykonywania usług
  • Opracowanie "Koncepcji zabezpieczeń" i modernizacje elektronicznych systemów zabezpieczeń
  • Opracowanie procedur postępowania: zmiana przechowywania dokumentów
  • Szkolenie dla pracowników z zakresu Ochrony Danych Osobowych ODO (w tym RODO)
  • Opracowanie i wdrożenie planu audytów wewnętrznych
  • Opracowanie Polityki bezpieczeństwa informacji
  • Nadzór ppoż. i ewakuacją zajmowanego budynku
  • Nadzór nad BHP i pierwszą pomocą
  • Regulacja działania podwykonawców

Kontakt

ul. Łąkowa 27B, lok. 23
90-554 Łódź

538 485 581
42 639 50 83

sekretariat@pakulaconsulting.pl

Formularz kontaktowy


PakulaConsulting 2024 © All rights reserved
Realizacja: DamianGuzek.com