RODO

Nieprawdą jest, że RODO znosi obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  1. stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  2. zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  3. zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  4. zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  5. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  6. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,
  7. stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Nie ma obowiązku posiadania wewnętrznej dokumentacji ochrony danych osobowych w konkretnym kształcie. Jest to pewna dowolność w kształtowaniu wewnętrznych procedur postępowania z danymi osobowymi. Co wcale nie oznacza, że dokumentów jest mniej. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO.

Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Biorąc pod uwagę interpretację UODO, regulacje prawne oraz ocenę Państwa działalności w zakresie m.in. procesów, kontrahentów czy systemu informatycznego proponujemy następujące rozwiązania w zakresie przestrzegania RODO w organizacji.

Wymieniam poniżej wszystkie elementy i zagadnienia jakimi możemy się zająć, natomiast decyzję o tym, które z nich zostaną wybrane, opracowane i wprowadzone, pozostawiam Państwu. Mając oczywiście na uwadze fakt, że odpowiedzialność w tym zakresie ponosi niestety-administrator danych osobowych.

Dostosowanie organizacji do obecnie obowiązujących przepisów o ochronie danych osobowych dzielimy na kilka etapów. Przeprowadzamy również szkolenie wstępne dla pracowników. Ma ono na celu zapoznanie pracowników z najważniejszymi zagadnieniami w zakresie ochrony danych osobowych. Szkolenie ma pokazać, że zawsze kiedy dysponujemy danymi osobowymi to je przetwarzamy. A samo pojęcie przetwarzania nie jest zarezerwowane dla skomplikowanych operacji czy czynności.

Etap 1 (Analityczny)
Etap II
Etap III
– określenie kategorii danych i procesów jakie mają miejsce w firmie,
– określenie podstaw przetwarzania danych osobowych,
– analiza procesów pod względem celowości przetwarzania danych osobowych oraz merytorycznej poprawności i czasowości,
– przypisanie osób do procesów i określenie zgodności procesów z przepisami RODO,
– inwentaryzacja zasobów wykorzystywanych w zidentyfikowanych procesach z udziałem osób odpowiedzialnych za procesy,
– określenie zabezpieczeń: fizycznych, organizacyjnych i informatycznych,
– określenie podmiotów, którym przekazujemy dane.
– opracowanie polityki bezpieczeństwa,
– określenie zasad ochrony danych osobowych dla konkretnej firmy,
– instrukcji zarządzania systemem informatycznym,
– spełnienie obowiązku informacyjnego,
– przygotowanie druków: upoważnień, zgód, klauzul
– umowy powierzenia.
– rejestr czynności przetwarzania,
– DPIA – Dokonanie oceny skutków ochrony danych (ang. Data Protection Impact Assessment),
– analiza ryzyka w stosunku do każdego z zasobów,
– plan postępowania z ryzykiem i monitorowanie ryzyka,
– procedura zarządzania incydentami,
– procedura realizacji praw osób, które dane dotyczą.
– szkolenie końcowe dla osób przetwarzających dane osobowe, wprowadzające opracowaną dokumentację i podsumowujące zakres ochrony danych osobowych w firmie,

Wsparcie merytoryczne przez okres 3 miesięcy od daty zamknięcia etapów.

Dostosowujemy zadania do realizacji biorąc pod uwagę Państwa potrzeby, czas, zaangażowanie – cenę ustalając indywidualnie dla Zamawiającego.