RODO

Unijne rozporządzenie dotyczące ochrony danych osobowych

Już 25 maja 2018 r. wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Nowe przepisy dotyczą każdego podmiotu działającego na terenie UE, począwszy od jednoosobowych działalności gospodarczych po duże międzynarodowe korporacje. Czasu na wprowadzenie zmian nie zostało wiele, a brak ich wdrożenia grozi wielomilionowymi karami.

Co to jest RODO?

General Data Protection Regulation (GDPR), czyli Ogólne rozporządzenie o ochronie danych osobowych (powszechnie używany skrót – RODO) zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Nowe wytyczne dotyczą ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz ich przepływem.

Od kiedy wchodzi w życie?

Wspomniany akt prawny od 25 maja 2018 r. będzie regulował powyższe kwestie we wszystkich państwach członkowskich Unii Europejskiej.

Kogo dotyczy RODO? Zakres podmiotowy

Obowiązek zastosowania się do RODO mają wszystkie firmy, które gromadzą i wykorzystują dane dotyczące osób fizycznych, tj. pracowników oraz klientów. Nowa regulacja dotyczy zatem podmiotów, które w jakikolwiek sposób zbierają i przetwarzają informacje z tych dwóch obszarów. Mogą to być zarówno duże korporacje, jednoosobowe firmy, jak i sklepy internetowe.

Co to są dane osobowe, co oznacza ich przetwarzanie?

W ustawie posłużono się zwrotem “przetwarzanie danych”. Definicja tej czynności została zakotwiczona w art. 7 pkt 2. i rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

W praktyce przez przetwarzanie danych należy rozumieć każdą operację albo zestaw operacji, które są dokonywane na danych osobowych za pośrednictwem środków zautomatyzowanych.

Mogą to być m.in. takie czynności jak: rejestracja, porządkowanie, przechowywanie, gromadzenie, adaptacja, modyfikacja, odzyskiwanie, ujawniania, transmisja, blokowanie, a nawet ich niszczenie.

Kluczowe obszary RODO:

• określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
• zdefiniowanie procesów zachodzących w organizacji,
• zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
• opracowanie planu postępowania z ryzykiem.

Dostosowanie środków technicznych i IT

• określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
• określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
• ocena adekwatności zastosowanych zabezpieczeń,
• stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.

Dostosowanie środków organizacyjnych

• określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
• ocena adekwatności zastosowanych do tej pory zabezpieczeń,
• wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.).

Wdrożenie zasady przejrzystości

• zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,

Usuwanie danych

• analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane,
• analiza metod usuwania danych i ich skuteczności, stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.

Stworzenie dokumentacji ochrony danych osobowych

• przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
• dostosowanie funkcjonujących polityk do nowych
• przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości,
• przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem.

Rejestr czynności przetwarzania

• analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr,
• weryfikacja procesów związanych z przetwarzaniem danych osobowych,
• stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.

Inspektor ochrony danych

• analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych,
• wskazanie jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i wskazanie zadań,
• stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi przepisów przy uwzględnieniu oszacowanego ryzyka,
• stworzenie nowych procedur pod kątem wymogów RODO.

Weryfikacja podstaw przetwarzania

• przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,
• weryfikacja podstaw do przetwarzania danych wrażliwych,
• przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych
• stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi przepisów przy uwzględnieniu oszacowanego ryzyka,
• dostosowanie formularzy zgód na przetwarzanie danych osobowych.

Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania

• stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych,
• stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim).

Certyfikacja

• analiza potrzeby poddania się przez organizację certyfikacji,
• weryfikacja gotowości organizacji do poddania się certyfikacji.

Współadministrowanie

• zidentyfikowanie spółek wchodzących w skład grupy kapitałowej,
• analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
• stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.

Dostosowanie procesu profilowania

• analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania,
• ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,
• stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.

Ocena skutków dla ochrony danych

• analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
• dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.

Zgłaszanie naruszeń

• stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
• stworzenie szablonu rejestru naruszeń ochrony danych osobowych.

Umożliwienie realizacji praw podmiotu danych

• dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd.,
• stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości.

Spełnienie nowego obowiązku informacyjnego

• analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane,
• stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.

Zmiana współpracy z procesorem

• analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowychzawieranego z procesorem,
• stworzenie wykazu procesorów,
• dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.

Dostosowanie zasad transferu danych poza EOG

• analiza czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy,
• ustalenie podstaw do przekazywania danych do państwa trzeciego,
• dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.