RODO

1. Strona Główna
2. Wdrożenia

RODO, audyt RODO, szkolenie RODO, wdrażanie RODO

RODO (Rozporządzenie nr 2016/679 PE i RE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) nie jest żadną wielką rewolucją w stosunku do tego, czego wymagała od ADO ustawa o ochronie danych osobowych. RODO zmienia podejścia do ochrony danych osobowych i definiuje je jako: podejście oparte na ryzyku „risk based approach”. Wg tego podejścia, ADO ma zdefiniować ryzyka, jakie występują w jego przedsiębiorstwie w obszarze przetwarzania danych i na bazie analizy takich ryzyk, ma dobrać odpowiednie środki zabezpieczające dane.

Opracowujemy:

• wymagane przez RODO rejestry;
• zapewniające rozliczalność Administratora polityki i procedury;
• prawidłowe obowiązki informacyjne
• szkolimy personel z zasad przetwarzania danych
• tłumaczymy o czym mówią zasady: privacy by desing, privacy by default, risk based approach

Poprawiamy:

• błędną interpretację wymogów RODO - poprawnie określamy kto jest Administratorem a kto Procesorem
• błędnie opracowane i wdrożone klauzule informacyjne
• błędnie zakwalifikowane umowy powierzenia - powierzenie to nie to samo co udostępnienie

Jak poprawnie wdrożyć RODO?

• Należy zinwentaryzować, jakie dane osobowe zbieramy i przetwarzamy w firmie?
• Zobaczyć czy mamy podstawę do ich przetwarzania?
• Ustalić czy jesteśmy Administratorem Danych czy też Podmiotem Przetwarzającym? Od prawidłowej identyfikacji roli w procesie przetwarzania zależy to, jakich obowiązków i zasad RODO musimy przestrzegać
• Ustalić, komu i na jakiej podstawie ujawniamy dane osobowe, które przetwarzamy - identyfikacja odbiorców i podmiotów przetwarzających?
• Opracować klauzulę informacyjnej zgodnej z RODO. Klauzula jest rozbudowana i wymaga podania wielu informacji, których dotąd nie musieliśmy podawać,
• Dokonać inwentaryzacji umów z tzw. procesorami (wg RODO to podmioty przetwarzające), czyli firmy, które z nami współpracują i wykonują w naszym imieniu pewne czynności w procesie przetwarzania danych osobowych.

Jaką dokumentację wymaga RODO (wprost wymagane przez RODO):

• Rejestr czynności przetwarzania,
• Rejestr naruszeń,
• Rejestr kategorii czynności przetwarzania (jeśli jesteśmy podmiotem przetwarzającym),
• Analizę oceny ryzyka - w przypadku wielu rodzajów ADO jest to dokument obowiązkowy.

Jaką dokumentacje RODO należy mieć, aby wykazać się rzetelnością i rozliczalnością przy przetwarzaniu danych?

• Polityka bezpieczeństwa informacji,
• Instrukcja zarządzania systemem informatycznym,
• Rejestr osób upoważnionych do przetwarzania,
• Procedura zarządzania kluczami do pomieszczeń, w którym przetwarzamy dane,
• Procedura, jeśli wymaga tego specyfika działalności ADO, np. procedura zarządzania nagraniami z monitoringu.
• Procedura sprawdzania, czy nasze systemy informatyczne są przygotowane do wymogów dot. realizacji praw osób, których dane przetwarzamy: udzielanie informacji, przenoszenie danych do innego administratora, prawo do bycia zapomnianym)?
• Procedura sprawdzania, czy nasze systemy rzeczywiście chronią dane by wywiązać się z zasady integralności i poufności - jakie stosujemy zabezpieczenia serwerów, stacji roboczych , telefonów i innych urządzeń oraz czy dla naszych danych są one wystarczające?
• Zapisy umów dotyczących powierzenia do przetwarzania - RODO wymaga uzupełnienia tych zapisów o dodatkowe informacje m.in. o tym, co stanie się z danymi po zakończeniu umowy,

Jak przetwarzać dane osobowe w świetle RODO? Co to są dane osobowe?

Dane osobowe - zgodnie z art. 4 ust 1 RODO to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą).

Podział danych osobowych - dane szczególnej kategorii (wg RODO - dane wrażliwe):

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne,
• dane biometryczne,
• dane o stanie zdrowia,
• dane o seksualności lub orientacji seksualnej

Co oznacza przetwarzanie danych?

• Przetwarzanie danych osobowych to wykonywanie jakiejkolwiek operacji na danych np. :
• Wprowadzanie do systemu,
• Wykorzystywanie do powtarzalnych operacji (np. naliczanie płac, wystawianie dokumentów, wysyłanie e-maili, korespondencji, wykonywanie telefonów itp.),
• Składowanie danych na serwerze, wykonywanie back-up,
• Obserwacja nagrań z monitoringu,
• Archiwizacja danych

Czego RODO wymaga od administratorów danych osobowych?

RODO wymaga, aby w procesie przetwarzania danych osobowych, ADO byli rozliczani. Można to to wykazać opracowując i wdrażając odpowiednie procedury opisujące zasady przetwarzania danych (środki organizacyjne), zapewniając środki techniczne odpowiednie do rodzaju i skali przetwarzanych danych, a także stosownie do ryzyk, jakie zostaną zidentyfikowane w obszarze przetwarzania danych (zabezpieczenia systemów informatycznych oraz zabezpieczenia pomieszczeń w których przetwarzane są dane)

Audyt zerowy infrastruktury dotyczy m.in.:

• SSWiN (system sygnalizacji włamania i napadu)
• SKD (system kontroli dostępu)
• Sygnalizacja PPOŻ. - teoretycznie w gestii administratora budynku. Przepisy wskazują jednak także na użytkownika. Do zmiany jest oznaczenie drzwi ewakuacyjnych w magazynie części.
• Zabezpieczenia infrastruktury IT
• Monitoring - systemy CCTV, monitoring poczty elektronicznej
• Zabezpieczenia w systemach informatycznych
• Procedura nadawania uprawnień dostępu do systemów informatycznych
• Poziom bezpieczeństwa haseł w systemie informatycznym
• Procedura tworzenia kopii zapasowych
• Procedura korzystania ze służbowych laptopów oraz mobilnych nośników danych
• Procedura korzystania z prywatnych laptopów oraz mobilnych nośników danych
• Dokumentacja kadrowa
• Wzory upoważnień do przetwarzania danych osobowych
• Rejestr osób upoważnionych
• Zawarte umowy dotyczące powierzenia przetwarzania danych osobowych
• Deklaracje poufności
• Przetwarzanie danych osobowych klientów
• Umowy handlowe z firmami typu Dell, HP, Mecalit Rossmann, sądy czy inne organizacje samorządowe
• Formularze służące do zbierania danych od klientów
• Respektowanie praw klientów: prawa do sprzeciwu, cofnięcia zgody, prawa do informacji
• Proces rekrutacji - zgodność z wymaganiami ustawy ODO
• Zakup usług - podwykonawstwo
• Poziom wiedzy pracowników
• Zabezpieczenia budowlane i mechaniczne : uszczelnienie obszaru wykonywania usług
• Opracowanie "Koncepcji zabezpieczeń" i modernizacje elektronicznych systemów zabezpieczeń
• Opracowanie procedur postępowania: zmiana przechowywania dokumentów
• Szkolenie dla pracowników z zakresu Ochrony Danych Osobowych ODO (w tym RODO)
• Opracowanie i wdrożenie planu audytów wewnętrznych
• Opracowanie Polityki bezpieczeństwa informacji
• Nadzór ppoż. i ewakuacją zajmowanego budynku
• Nadzór nad BHP i pierwszą pomocą
• Regulacja działania podwykonawców