System ochrony danych osobowych w naszym kraju uległ zmianom, które zaczęły obowiązywać  już 25 maja 2018 r. w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych(...) określonego skrótowo jako RODO. Zmodernizowana Ustawa o Ochronie Danych Osobowych oraz zmiana Głównego Inspektoratu Danych Osobowych (GIODO) na Urząd Ochrony danych wzbudziły masę emocji oraz dyskusji...

Z racji znalezienia się wielu przedsiębiorców w sytuacji, w której wdrażają wymogi RODO w działania swoich firm wyszliśmy naprzeciw ich oczekiwaniom i postanowiliśmy przedstawić zakres działań, jakie powinno się podjąć. Dotyczy to zarówno sytuacji wdrożenia wymogów na "włąsną rękę" oraz opcji przy nawiązaniu współpracy z firmą zewnętrzną. Oba obszary choć dotyczą tej samej kwesti, mają sporo różnic głównie w zakresie i sposobie wdrożonych rozwiązań oraz dokumentacji. Osobnym spektrum jest także powołanie IOD oraz pełnieniu jego funkcji w formie wsparcia administracyjnego.

W procesie wdrażania Rodo należy uwzględnić szereg zmian oraz nowości jakie ono narzuca, tak aby Administrator Danych zgodnie z wymogami poufności, integralności oraz rozliczalności mógł wykazać zgodność z jego postanowieniami. Niektóre z wprowadzonych zmian, obecnie należy uwzględniać już na etapie projektowania systemów stosując odpowiednie środki techniczne i organizacyjne, oceniać także ryzyko bezpieczeństwa przetwarzanych danych oraz właściwie rejestrować prowadzone w tym zakresie czynności.

Jakie działania należy przeprowadzić wdrażając Rodo ? oto większość z nich:

1. Audyt obecnej dokumentacji bezpieczeństwa danych osobowych obejmujący analizę zgodności przetwarzania danych osobowych z wymaganiami obowiązującej ustawy o ochronie danych osobowych oraz wymaganiami stawianymi przez RODO, który wskaże zakres niezbędnych działań w kontekście wymagań stawianych przez RODO,

2. Opracowanie wymaganej dokumentacji

 • rejestru czynności oraz rejestru czynności kategorii,
 • klauzul informacyjnych
 • polityki prywatności oraz regulaminu stosowania monitoringu
 • upoważnień do przetwarzania danych,
 • umów powierzenia przetwarzania danych,
 • metodologii i oceny Ryzyka w zakresie ochrony danych osobowych.

3. Opracowanie dokumentacji zalecanej bądź będącej przejawem dobrych praktyk:

 • Polityki czystego biurka,
 • Instrukcji przetwarzania danych w systemie monitoringu,
 • Instrukcji postępowania w przypadku cyberataku,
 • Procedury postępowania w przypadku naruszenia,
 • Procedury nadawania, zmiany i cofnięcia uprawnień,
 • Procedury szkoleń w zakresie ODO,
 • Procedury uprzednich konsultacji,
 • Porcedury realizacji praw osób,
 • Procedury oceny skutków,
 • Instrukcji korzystania z urządzeń przetwarzania mobilnego,
 • Instrukcji niszczenia danych,
 • Instrukcji postępowania przy przekazywaniu danych do państw trzecich,
 • Instrukcji przeglądów polityki ochrony danych,
 • Oraz innych załączników i wzorów.

4. Opracowanie wzorów upoważnień do przebywania w obszarze przetwarzania danych osobowych, a także w zależności od potrzeb umów lub oświadczeń o zachowaniu poufności.

5. Szkolenia kadry oraz pracowników w zakresie problematyki ochrony danych osobowych.

W przypadku organów lub podmiotów publicznych oraz przedsiębiorców, których główna działalność związana jest z monitorowaniem na dużą skalę osób lub zbieraniem szczególnych kategorii danych (dawniej „danych wrażliwych”), zachodzi konieczność powołania Inspektora Ochrony Danych ( IOD).

Powołany i zgłoszony do UODO Inspektor Ochrony Danych zapewnia:

 • okresowe analizy ryzyka,
 • wymagane audyty i przeglądy bezpieczeństwa danych osobowych,
 • rejestrowanie incydentów i zgłaszanie ich do organu nadzorczego,
 • nadzór nad prowadzeniem wymaganych rejestrów czynności przetwarzania danych,
 • nadzór nad prowadzeniem właściwej dokumentacji z zakresu ochrony danych osobowych,
 • reprezentowanie Klienta w zakresie przetwarzania danych osobowych,
 • prowadzenie dedykowanych szkoleń dla pracowników.

Wdrożenia w firmie Rodo, nie powinno traktować jako przykrej konieczności podyktowanej najczęściej obawą przed wysokimi karami w przypadku rażących zaniedbań. Poprawę bezpieczeństwa informacji oraz ochronę danych osobowych, warto wdrożyć mając na celu nie tylko zadbanie o bezpieczeństwo całej firmy, ale często również właściwe uporządkowanie tego nieco marginalizowanego w instytucjach, a tak ważnego w obecnych czasach tematu.

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczam ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych. Dokonując z nich zakupu, wesprzesz rozwój poradnika. Dziękujemy.

 1. Ochrona Danych Medycznych i Osobowych Pacjentów - kupisz tutaj,
 2. Ochrona Danych Osobowych - Poradnik dla Przedsiębiorców - kupisz tutaj,
 3. Bezpieczeństwo aplikacji mobilnych - kupisz tutaj,
 4. Informatyka Śledcza - kupisz tutaj,
 5. Profesjonalne testy penetracyjne - kupisz tutaj.

Na naszej stronie internetowej używamy plików cookie. Niektóre z nich są niezbędne dla funkcjonowania strony, inne pomagają nam w ulepszaniu tej strony i doświadczeń użytkownika (Tracking Cookies). Możesz sam zdecydować, czy chcesz zezwolić na pliki cookie. Należy pamiętać, że w przypadku odrzucenia, nie wszystkie funkcje strony mogą być dostępne.