RODO – Wdrożenie w firmie
Sprawdzenie legalności przetwarzania danych
-
Czy posiadasz właściwe zgody?
Aby móc stwierdzić czy dane w Twojej firmie są przetwarzane legalnie musisz posiadać właściwe zgody na przetwarzanie danych osobowych, dostosowane do specyfiki działalności Twojej firmy.
O zgodach tych mowa jest w art.6 a: „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”
Ważnym jest, że jeżeli przetwarzanie danych odbywa się na podstawie zgody, to administrator musi być w stanie wykazać, że osoba , której dane dotyczą zgodę taka wyraziła.
-
Wprowadź klauzulę informacyjną przy pozyskiwaniu nowych danych i uzyskiwania zgód na ich przetwarzanie
Zgodnie z art.13 podczas pozyskiwania nowych danych zobowiązani jesteśmy zobowiązani do przedstawienia miedzy innymi informacji:
- dane identyfikacyjne Administratora (podmiotu)
- cel przetwarzania pozyskanych danych
- okres przechowywania danych
- informację o prawie żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą
Prowadź rejestr zgód na przetwarzanie danych
Administrator musi uzyskać zgodę na przetwarzanie danych osobowych od osoby, której dane te dotyczą. Jak wcześniej wspomniano administrator powinien móc udowodnić, że taką zgodę otrzymał.
Rozwiązaniem jest więc prowadzenie rejestru zgód na przetwarzanie danych. Z pomocą przyjdą tu systemy informatyczne. Proponowanym przez nas rozwiązaniem jest program COMARCH ERP OPTIMA (pobierz demo) , w którym wprowadzono funkcjonalność prowadzenia rejestrów niezbędnych do wdrożenia RODO
W karcie każdego kontrahenta w systemie COMARCH ERP OPTIMA pojawi się zakładka Zgody, w której możemy odnotować udzieloną zgodę lub akceptację regulaminu itp.
Prowadź rejestr czynności przetwarzania
Jeżeli Twoja firma zatrudnia powyżej 250 osób jesteś zobowiązany do prowadzenia rejestru czynności przetwarzania danych (artykuł 30 Rozporządzenia).
Jeżeli nie zatrudniasz poniżej 250 osób to w pewnych przypadkach również musisz prowadzić taki rejestr, a są nimi:
- przetwarzanie, którego dokonują, mogą powodować ryzyko naruszenia praw
lub wolności osób, których dane dotyczą - przetwarzanie nie ma charakteru sporadycznego
- obejmują szczególną kategorie danych osobowych, o których mowa
w art. 9 ust 1 rozporządzenia RODO
Zalecane jest jednak prowadzenie takiego rejestru obligatoryjnie. Za jego nieprowadzenie grozi kara pieniężna w wysokości 10mln EUR , a w przypadku przedsiębiorstwa do 2% rocznego obrotu.
Rejestr czynności przetwarzania musi być prowadzony w sposób przejrzysty i czytelny, powinien zawierać informacje o których mowa w Art. 30 Rozporządzenia i zawierać:
- Imię nazwisko lub nazwę administratora wraz z danymi kontaktowymi
- cele przetwarzania
- opis kategorii osób, których dane dotyczą , oraz kategorii danych osobowych
- kategorie odbiorców , którym dane zostały przekazane lub ujawnione
- terminy planowanego usunięcia danych
- opis technicznych i organizacyjnych środków bezpieczeństwa
Również wszystkie te funkcjonalności są dostępne w COMARCH ERP OPTIMA (pobierz DEMO)
Analizuj ryzyko – stwórz dokument analizy ryzyka, jest to wstęp do opracowania dokumentacji RODO
Analiza ryzyka i zagrożeń to dokument będący wynikiem analizy ryzyka związanego z bezpieczeństwem przetwarzania danych. Taka analiza jest indywidualna dla każdego podmiotu. Określenie ryzyk powinno zawierać:
- Określenie zasobów danych, które mają być chronione
- Ustalenie ewentualnych zagrożeń dla chronionych zasobów – źródła i rodzaje (np zagrożenia losowe, informatyczne , ze strony pracowników..)
- ustalenia zasad zarządzania ryzykiem – jeżeli już zidentyfikujemy ryzyka powinniśmy opracować działania dążące do zmniejszenia prawdopodobieństwa ich wystąpienia lub naprawy skutków.
- opisz zasady monitorowania ryzyka
Dokumentacja ochrony danych
Według zaleceń Rozporządzenia każdy administrator powinien prowadzić dokumentację ochrony danych, która powinna zawierać
- Strategię bezpieczeństwa
- Politykę bezpieczeństwa
- Rejestr operacji przetwarzania danych osobowych
- Politykę monitorowania i reagowania na naruszenie ochrony danych osobowych
- Rejestr incydentów
- Rejestr upoważnień
- Analizę ryzyka
- Opis polityki zarządzania ryzykiem
- Raport z analizy ryzyka
- Procedury zarządzania zmianą
- Politykę zarządzania kopiami zapasowymi
- Procedury zarządzania użytkownikami i ich dostępem do danych
- Standardy zabezpieczeń
W kolejnych wpisach postaram się podać przykłady treści poszczególnych dokumentów.