RODO – Wdrożenie w firmie

Rozporządzenie do pobrania

Sprawdzenie legalności przetwarzania danych

  • Czy posiadasz właściwe zgody?

Aby móc stwierdzić czy dane w Twojej firmie są przetwarzane legalnie musisz posiadać właściwe zgody na przetwarzanie danych osobowych, dostosowane do specyfiki działalności Twojej firmy.
O zgodach tych mowa jest w art.6 a: „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”

Ważnym jest, że jeżeli przetwarzanie danych odbywa się na podstawie zgody, to administrator musi być w stanie wykazać, że osoba , której dane dotyczą zgodę taka wyraziła.

  • Wprowadź klauzulę informacyjną przy pozyskiwaniu nowych danych i uzyskiwania zgód na ich przetwarzanie

Zgodnie z art.13 podczas pozyskiwania nowych danych zobowiązani jesteśmy zobowiązani do przedstawienia miedzy innymi informacji:

  • dane identyfikacyjne Administratora (podmiotu)
  • cel przetwarzania pozyskanych danych
  • okres przechowywania danych
  • informację o prawie żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą

Prowadź rejestr zgód na przetwarzanie danych

Administrator musi uzyskać zgodę na przetwarzanie danych osobowych od osoby, której dane te dotyczą. Jak wcześniej wspomniano administrator powinien móc udowodnić, że taką zgodę otrzymał.
Rozwiązaniem jest więc prowadzenie rejestru zgód na przetwarzanie danych. Z pomocą przyjdą tu systemy informatyczne. Proponowanym przez nas rozwiązaniem jest program COMARCH ERP OPTIMA (pobierz demo) , w którym wprowadzono funkcjonalność prowadzenia rejestrów niezbędnych do wdrożenia RODO

Rejestr zgód na przetwarzanie danych osobowych

W karcie każdego kontrahenta w systemie COMARCH ERP OPTIMA pojawi się zakładka Zgody, w której możemy odnotować udzieloną zgodę lub akceptację regulaminu itp.

Udzielenie zgody na przetwarzanie danych osobowych

Prowadź rejestr czynności przetwarzania

Jeżeli Twoja firma zatrudnia powyżej 250 osób jesteś zobowiązany do prowadzenia rejestru czynności przetwarzania danych (artykuł 30 Rozporządzenia).
Jeżeli nie zatrudniasz poniżej 250 osób to w pewnych przypadkach również musisz prowadzić taki rejestr, a są nimi:

  • przetwarzanie, którego dokonują, mogą powodować ryzyko naruszenia praw
    lub wolności osób, których dane dotyczą
  • przetwarzanie nie ma charakteru sporadycznego
  • obejmują szczególną kategorie danych osobowych, o których mowa
    w art. 9 ust 1 rozporządzenia RODO

Zalecane jest jednak prowadzenie takiego rejestru obligatoryjnie. Za jego nieprowadzenie grozi kara pieniężna w wysokości 10mln EUR , a w przypadku przedsiębiorstwa do 2% rocznego obrotu.

Rejestr czynności przetwarzania musi być prowadzony w sposób przejrzysty i czytelny, powinien zawierać informacje o których mowa w Art. 30 Rozporządzenia i zawierać:

  • Imię nazwisko lub nazwę administratora wraz z danymi kontaktowymi
  • cele przetwarzania
  • opis kategorii osób, których dane dotyczą , oraz kategorii danych osobowych
  • kategorie odbiorców , którym dane zostały przekazane lub ujawnione
  • terminy planowanego usunięcia danych
  • opis technicznych i organizacyjnych środków bezpieczeństwa

Również wszystkie te funkcjonalności są dostępne w COMARCH ERP OPTIMA (pobierz DEMO)

Rejestr Czynności Przetwarzania Danych RODO OPTIMA

Analizuj ryzyko – stwórz dokument analizy ryzyka, jest to wstęp do opracowania dokumentacji RODO

Analiza ryzyka i zagrożeń to dokument będący wynikiem analizy ryzyka związanego z bezpieczeństwem przetwarzania danych. Taka analiza jest indywidualna dla każdego podmiotu. Określenie ryzyk powinno zawierać:

  • Określenie zasobów danych, które mają być chronione
  • Ustalenie ewentualnych zagrożeń dla chronionych zasobów – źródła i rodzaje (np zagrożenia losowe, informatyczne , ze strony pracowników..)
  • ustalenia zasad zarządzania ryzykiem – jeżeli już zidentyfikujemy ryzyka powinniśmy opracować działania dążące do zmniejszenia prawdopodobieństwa ich wystąpienia lub naprawy skutków.
  • opisz zasady monitorowania ryzyka

Dokumentacja ochrony danych

Według zaleceń Rozporządzenia każdy administrator powinien prowadzić dokumentację ochrony danych, która powinna zawierać

  • Strategię bezpieczeństwa
  • Politykę bezpieczeństwa
  • Rejestr operacji przetwarzania danych osobowych
  • Politykę monitorowania i reagowania na naruszenie ochrony danych osobowych
  • Rejestr incydentów
  • Rejestr upoważnień
  • Analizę ryzyka
  • Opis polityki zarządzania ryzykiem
  • Raport z analizy ryzyka
  • Procedury zarządzania zmianą
  • Politykę zarządzania kopiami zapasowymi
  • Procedury zarządzania użytkownikami i ich dostępem do danych
  • Standardy zabezpieczeń

W kolejnych wpisach postaram się podać przykłady treści poszczególnych dokumentów.

 

 

 

 

 

 

 

Rate this post