Przygotuj firmę na RODO



Rozporządzenie o Ochronie Danych Osobowych (RODO) zacznie obowiązywać w Polsce od 25 maja 2018 r..

Definicja RODO

,,RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Rozporządzenie zacznie obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Niniejsze Rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą przebywających w Unii przez Administratora lub podmiot przetwarzający , jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą lub monitorowaniem ich zachowań.

RODO wprowadza zmiany w zakresie ochrony danych osobowych, ale nie określa ścisłych reguł jakie mają zostać spełnione w konkretnej firmie. To od każdej firmy, specyfiki jej działania oraz organizacji pracy, zakresu i specyfiki przetwarzanych danych osobowych zależeć będą wdrożone mechanizmy, procedury, wymagane dokumenty itp. mające na celu zapewnienie właściwej ochrony danych osobowych.

Siedem zasad przetwarzania danych osobowych

W przepisach RODO sformułowanych zostało siedem zasad przetwarzania danych osobowych. Są nimi:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości – art. 5 ust. 1 a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”).
  2. Zasada ograniczenia celu przetwarzania danych – art. 5 ust. 1 b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; („ograniczenie celu”).
  3. Zasada minimalizacji danych – art. 5 ust. 1 c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
  4. Zasada prawidłowości danych – art. 5 ust. 1 d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).
  5. Zasada ograniczenia przechowania danych – art. 5 ust. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”).
  6. Zasada integralności i poufności danych – art. 5 ust.1 f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  7. Zasada rozliczalności oznacza, że administrator musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z w/w zasadami.

Audyt RODO

Do wejścia w życie rozporządzenia zostało jeszcze nieco czasu – wykorzystaj go, by sprawdzić, czy środki bezpieczeństwa i procedury dotyczące ochrony danych osobowych stosowane w Twojej firmie nie narażą Cię na przykre konsekwencje.

Najlepiej będzie, jeśli krok po kroku przeanalizujesz, jak dotychczas wyglądały przetwarzanie i ochrona danych osobowych w Twojej organizacji – spróbuj to zrobić wg następującego porządku:

  • Zbadaj, jakie dane osobowe są przetwarzane w firmie – i czy robisz to legalnie. Upewnij się, że masz zgodę na przetwarzanie danych od osób, których te dane dotyczą – i że przetwarzanie jest niezbędne, np. do wykonania umowy czy wypełnienia obowiązków prawnych
  • Zweryfikuj zakres i cel przetwarzania danych, a także ich merytoryczną poprawność. Sprawdź, czy pasują do celu, w jakim je przetwarzasz – np. czy nie przetwarzasz danych takich jak adres zamieszkania w sytuacji, gdy do realizacji celu potrzebny jest Ci tylko adres e-mail
  • Zweryfikuj system techniczno-organizacyjny ochrony danych osobowych. Przeanalizuj fizyczne i logiczne zabezpieczenia infrastruktury informatycznej
  • Sprawdź, czy Twoja dokumentacja ochrony danych osobowych jest aktualna i zgodna z RODO
  • Przeanalizuj polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określ ich wpływ na poziom zabezpieczenia zbiorów danych przetwarzanych w formie elektronicznej
  • Zweryfikuj funkcjonalności aplikacji i poziom ich zabezpieczeń, a w przypadku wykrycia nieprawidłowości – zaproponuj optymalne rozwiązania
  • Sprawdź poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej
  • Zweryfikuj poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych
  • Zweryfikuj zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych

W szczególności powinieneś pomyśleć o:

  • działaniach w zakresie legalności przetwarzania danych osobowych;
  • działaniach w zakresie wymaganej dokumentacji;
  • analizie ryzyka;
  • powołaniu Inspektora Ochrony Danych Osobowych czy Administratora Bezpieczeństwa Informacji;
  • poinformowaniu i przeszkoleniu pracowników w zakresie bezpieczeństwa i zasad przetwarzania danych oraz obowiązku zgłoszenia naruszeń ochrony danych w ciągu 72 godzin.

Naruszenia, za które zgodnie z RODO możesz dostać karę:

  • Brak uwzględnienia ochrony danych w fazie projektowania
  • Brak umowy powierzenia przetwarzania danych osobowych
  • Brak rejestru czynności przetwarzania danych osobowych
  • Niezgłoszenie incydentu godzącego w bezpieczeństwo przetwarzania danych osobowych
  • Naruszenie zasady bezpieczeństwa
  • Naruszenie statusu inspektora ochrony danych osobowych
  • Naruszenie zasady celowości
  • Łączenie zgód na przetwarzanie danych osobowych
  • Brak podstawy prawnej do przetwarzania danych osobowych
W razie pytań zapraszamy do kontaktu!