RODO – nowe obowiązki związane z ochroną danych

Print Friendly

W dniu 25 maja 2018 roku wchodzi do stosowania unijne Ogólne Rozporządzenie o Ochronie Danych (zwane: RODO). Akt ten wprowadza istotne zmiany w obszarze ochrony danych osobowych dla wszystkich polskich przedsiębiorstw i instytucji. Jego regulacje obejmują bardzo szeroki obszar rynku – w każdym przypadku, w którym pojawiają się dane osobowe określonej osoby fizycznej (niezależnie czy to konsumenta, czy to przedsiębiorcy, czy pracownika, przedstawiciela kontrahenta) konieczne będzie uwzględnienie przepisów RODO w procesie przetwarzania takich danych.

Niedostosowanie się przedsiębiorców do warunków wynikających z RODO zagrożone jest bardzo wysokimi sankcjami finansowymi, wynoszącymi nawet do 20 mln euro. Karę tę będzie nakładał Prezes Urzędu Ochrony Danych Osobowych.

Poniżej przedstawiamy zestaw zagadnień, które mamy nadzieję, pomogą Państwu przygotować się do RODO oraz pozwolą na końcową weryfikację czy są Państwo gotowi na jego wejście do stosowania.

CHECKLISTA DLA WEJŚCIA RODO DO STOSOWANIA

  1. Czy obecnie posiadają Państwo powołanego Administratora Bezpieczeństwa Informacji oraz czy weryfikowali Państwo, czy od 25 maja 2018 roku są Państwo zobligowani do powołania Inspektora Ochrony Danych Osobowych (art. 37 RODO)?
  2. Czy w braku obowiązku wyznaczenia Inspektora powołają Państwo w swojej organizacji osobę odpowiedzialną za ochronę danych osobowych? Czy osoba ta posiada już odpowiednią wiedzę?
  3. Czy zidentyfikowali Państwo wszystkie procesy przetwarzania danych, które zachodzą w firmie, i opisali je?
  4. Czy dla każdego z tych procesów przeprowadzili Państwo analizę ryzyka przetwarzania danych (m.in. dostępność, integralność, poufność)? Czy analiza ta została udokumentowana?
  5. Czy posiadają Państwo instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych, w przypadku incydentów bezpieczeństwa?
  6. Czy osoby, które w organizacji mają styczność z danymi osobowymi zostały przeszkolone w zakresie reguł ich przetwarzania, w tym w szczególności z obowiązku zachowania poufności, dostępności i integralności danych osobowych?
  7. Czy prowadzą Państwo ewidencję upoważnień oraz posiadają upoważnienia dla każdego z pracowników (niezależnie od podstawy prawnej zatrudnienia) w obszarze dostępu do danych osobowych? Czy upoważnienia odpowiadają rzeczywiście wykonywanym czynnościom?
  8. Czy określili Państwo, czy są zobowiązani do prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30 RODO)?
  9. Czy wdrożyli Państwo odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych; wzorcowo, zgodnie z RODO, są to w szczególności;
  • pseudonimizacja;
  • szyfrowanie danych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności
    i odporności systemów i usług przetwarzania
  • zdolność do szybkiego przywrócenia dostępności danych osobowych
    i dostępu do nich w razie incydentu fizycznego lub technicznego
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania
  1. Czy zidentyfikowali Państwo wszystkie obszary, w których są Państwo obowiązani do udzielania na zewnątrz pełnej informacji o regułach przetwarzania w Państwa firmie danych osobowych (dot. klientów, konsumentów, przedsiębiorców, pracowników, przedstawicieli kontrahentów; por. art. 12-14 RODO)?
  2. Czy w przypadku podmiotów, które przetwarzają dla Państwa dane osobowe, posiadają Państwo podpisane umowy o powierzeniu przetwarzania danych osobowych? (patrz art. 28 ust. 1 i ust. 3 RODO)
  3. Czy przechowują Państwo dane tylko na terytorium UE? Gdzie są położone Państwa serwery, gdzie działają dostawcy poczty internetowej? Te elementy mogą wymagać dodatkowej uwagi.
  4. Czy każde z Państwa działań w obszarze danych osobowych jest „rozliczalne” – to znaczy, że są Państwo w stanie na wezwanie udowodnić, że rzeczywiście realizowali Państwo określone działania wymagane przez RODO? (np. udzielali wymaganych informacji, uzyskali zgody o określonej treści w określonych warunkach).

Lista niezbędnych działań do podjęcia w związku z wejściem w życie RODO jest rozbudowana i z naszej praktyki wiemy, że nie są to czynności, które da się zrealizować w szybkim trybie. Dlatego jeżeli jeszcze nie podjęli Państwo działań w tym zakresie, rekomendujemy niezwłoczne ich rozpoczęcie.

 

 

Masz pytania?

Napisz do Nas

Zadzwoń do Nas!

607 660 516