RODO – Ochrona danych osobowych
Od 25 maja 2018 roku przepisy regulujące zasady ochrony danych osobowych ulegną diametralnej zmianie. Odtwórcza implementacja regulacji prawnych nie będzie już wystarczająca. Na mocy europejskiego rozporządzenia o ochronie danych osobowych (RODO) na przedsiębiorców nałożone zostaną nowe obowiązki. Będą oni zmuszeni zaangażować się w budowę własnego systemu ochrony danych osobowych, adekwatnego do profilu prowadzonej działalności. Kary za uchybienia w obowiązkach mogą sięgać nawet 20 milionów euro lub 4% rocznego, światowego obrotu!
RODO wymaga, aby przedsiębiorcy, w wyznaczonych prawem granicach, sami określali charakter posiadanych danych osobowych oraz ryzyka związane z ich przetwarzaniem, a także aby wdrożyli odpowiednie zabezpieczenia.
Co warto wiedzieć o nowych przepisach RODO?
Czy Twoja firma jest w pełni dostosowana do wymagań RODO?
Wypełnij ankietę i sprawdź przygotowanie Twojej firmy do wymogów nakładanych przez przepisy dotyczące ochrony danych osobowych.
Zapraszamy do współpracy – wraz z naszymi specjalistami pomożemy Państwu przejść przez proces dostosowania Państwa organizacji do nowych regulacji prawnych.
AUDYT WEWNĘTRZNY
W ramach świadczonych przez nas usług analizujemy sytuację przetwarzania danych osobowych u Klienta, wskazujemy na ewentualną konieczność zmian. Audytorów interesują następujące zagadnienia:
- jakie dane osobowe są przetwarzane (klientów, pracowników, kontrahentów),
- przez jaki okres czasu są one przetwarzane,
- jaki jest cel przetwarzania tych danych,
- czy sposób przetwarzania danych jest zgodny z ustalonym celem (czy np. dane osobowe, które powinny być przetwarzane jedynie w celu wykonania umowy nie są przetwarzane na przykład w celach marketingowych),
- czy Klient posiada zgody na przetwarzanie danych osobowych.
Należy również ustalić jaki jest stan zabezpieczeń przetwarzanych danych osobowych. W ramach badania organizacji sporządzana jest lista kontrolna, na podstawie której przygotowywany jest finalnie raport z wyników audytu z zaleceniami co do dalszych działań.
STWORZENIE SYSTEMU ZABEZPIECZENIA DANYCH OSOBOWYCH
Kolejnym etapem jest zaproponowanie i wdrożenie systemów bezpieczeństwa. W zależności od sytuacji będzie to albo kwestia dopracowania i udoskonalenia istniejących rozwiązań, albo stworzenie systemu od podstaw.
W ramach planowanego systemy wprowadzić należy zabezpieczenia z podziałem na 3 kategorie:
Fizyczne –zabezpieczenie wszystkich dokumentów, w których zawarte są dane osobowe np. poprzez wydzielenie osobnych pomieszczeń o ograniczonym dostępie, zaopatrzenie upoważnionych osób w klucze/karty, dzięki którym będą uzyskiwały dostęp do gromadzonych danych, objęcie obiektów, w których będą gromadzone dane osobowe monitoringiem, etc.
Organizacyjne – opracowanie i wdrożenie procedur oraz regulaminów pozwalających na zabezpieczenie danych osobowych, przeprowadzenie szkoleń zaznajamiających pracowników z zasadami ochrony danych osobowych, etc.
Techniczne – wdrożenie zabezpieczeń na poziomie korzystania z komputerów, tabletów, telefonów służbowych oraz każdego urządzenia czy nośnika, na którym znajdować się mają dane osobowe. Odpowiednie zorganizowanie sieci komputerowej i zabezpieczenie dostępu do niej, uregulowanie kwestii wykonywania kopii bezpieczeństwa, polityki haseł, etc.
OPRACOWANIE NIEZBĘDNEJ DOKUMENTACJI
Kolejnym krokiem jest opracowanie dokumentacji. Konieczne będzie przygotowanie dostosowanych do organizacji Klienta następujących dokumentów:
- Polityki bezpieczeństwa danych osobowych. Zgodnie z nowym rozporządzeniem stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych,
- Klauzul zgody w zakresie udokumentowania umowy o powierzeniu przetwarzania danych,
- Klauzul informacyjnych dla podmiotów, których dane były przetwarzane już przed zmianą przepisów,
- Rejestru operacji przetwarzania danych (w przypadku podmiotu zatrudniającego mniej niż 250 osób nie jest on co do zasady obligatoryjny, jednak za każdym razem trzeba ocenić, czy nie trzeba go stworzyć ze względu na przetwarzanie np. danych wrażliwych),
- Wzoru zgłoszenia incydentów związanych z danymi osobowymi do Urzędu Ochrony Danych Osobowych (aktualnie GIODO),
- Rejestru naruszeń.
SZKOLENIA DLA PERSONELU, OCENA WDROŻENIA
W ramach realizowanego zlecenia przeprowadzamy niezbędne szkolenia dla wszystkich osób w ramach organizacji, które będą miały kontakt z przetwarzaniem danych osobowych.
Podsumujemy też wykonaną pracę przekazując raport z wdrożenia przygotowanego dla Klienta systemu bezpieczeństwa danych osobowych.
W okresie bezpośrednio po wdrożeniu służyć będziemy wsparciem w zakresie realizowania przyjętych polityk bezpieczeństwa.
