Z racji znalezienia się wielu przedsiębiorców w sytuacji, w której wdrażają wymogi RODO w działania swoich firm wyszliśmy naprzeciw ich oczekiwaniom i postanowiliśmy przedstawić zakres działań, jakie powinno się podjąć. Dotyczy to zarówno sytuacji wdrożenia wymogów na "włąsną rękę" oraz opcji przy nawiązaniu współpracy z firmą zewnętrzną. Oba obszary choć dotyczą tej samej kwesti, mają sporo różnic głównie w zakresie i sposobie wdrożonych rozwiązań oraz dokumentacji. Osobnym spektrum jest także powołanie IOD oraz pełnieniu jego funkcji w formie wsparcia administracyjnego.

W procesie wdrażania Rodo należy uwzględnić szereg zmian oraz nowości jakie ono narzuca, tak aby Administrator Danych zgodnie z wymogami poufności, integralności oraz rozliczalności mógł wykazać zgodność z jego postanowieniami. Niektóre z wprowadzonych zmian, obecnie należy uwzględniać już na etapie projektowania systemów stosując odpowiednie środki techniczne i organizacyjne, oceniać także ryzyko bezpieczeństwa przetwarzanych danych oraz właściwie rejestrować prowadzone w tym zakresie czynności.

Jakie działania należy przeprowadzić wdrażając Rodo ? oto większość z nich:

1. Audyt obecnej dokumentacji bezpieczeństwa danych osobowych obejmujący analizę zgodności przetwarzania danych osobowych z wymaganiami obowiązującej ustawy o ochronie danych osobowych oraz wymaganiami stawianymi przez RODO, który wskaże zakres niezbędnych działań w kontekście wymagań stawianych przez RODO,

2. Opracowanie wymaganej dokumentacji

  • rejestru czynności oraz rejestru czynności kategorii,
  • klauzul informacyjnych
  • polityki prywatności oraz regulaminu stosowania monitoringu
  • upoważnień do przetwarzania danych,
  • umów powierzenia przetwarzania danych,
  • metodologii i oceny Ryzyka w zakresie ochrony danych osobowych.

3. Opracowanie dokumentacji zalecanej bądź będącej przejawem dobrych praktyk:

  • Polityki czystego biurka,
  • Instrukcji przetwarzania danych w systemie monitoringu,
  • Instrukcji postępowania w przypadku cyberataku,
  • Procedury postępowania w przypadku naruszenia,
  • Procedury nadawania, zmiany i cofnięcia uprawnień,
  • Procedury szkoleń w zakresie ODO,
  • Procedury uprzednich konsultacji,
  • Porcedury realizacji praw osób,
  • Procedury oceny skutków,
  • Instrukcji korzystania z urządzeń przetwarzania mobilnego,
  • Instrukcji niszczenia danych,
  • Instrukcji postępowania przy przekazywaniu danych do państw trzecich,
  • Instrukcji przeglądów polityki ochrony danych,
  • Oraz innych załączników i wzorów.

4. Opracowanie wzorów upoważnień do przebywania w obszarze przetwarzania danych osobowych, a także w zależności od potrzeb umów lub oświadczeń o zachowaniu poufności.

5. Szkolenia kadry oraz pracowników w zakresie problematyki ochrony danych osobowych.

W przypadku organów lub podmiotów publicznych oraz przedsiębiorców, których główna działalność związana jest z monitorowaniem na dużą skalę osób lub zbieraniem szczególnych kategorii danych (dawniej „danych wrażliwych”), zachodzi konieczność powołania Inspektora Ochrony Danych ( IOD).

Powołany i zgłoszony do UODO Inspektor Ochrony Danych zapewnia:

  • okresowe analizy ryzyka,
  • wymagane audyty i przeglądy bezpieczeństwa danych osobowych,
  • rejestrowanie incydentów i zgłaszanie ich do organu nadzorczego,
  • nadzór nad prowadzeniem wymaganych rejestrów czynności przetwarzania danych,
  • nadzór nad prowadzeniem właściwej dokumentacji z zakresu ochrony danych osobowych,
  • reprezentowanie Klienta w zakresie przetwarzania danych osobowych,
  • prowadzenie dedykowanych szkoleń dla pracowników.

Wdrożenia w firmie Rodo, nie powinno traktować jako przykrej konieczności podyktowanej najczęściej obawą przed wysokimi karami w przypadku rażących zaniedbań. Poprawę bezpieczeństwa informacji oraz ochronę danych osobowych, warto wdrożyć mając na celu nie tylko zadbanie o bezpieczeństwo całej firmy, ale często również właściwe uporządkowanie tego nieco marginalizowanego w instytucjach, a tak ważnego w obecnych czasach tematu.

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczam ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych. Dokonując z nich zakupu, wesprzesz rozwój poradnika. Dziękuję.

  1. Ochrona Danych Medycznych i Osobowych Pacjentów - kupisz tutaj,
  2. Ochrona Danych Osobowych - Poradnik dla Przedsiębiorców - kupisz tutaj,
  3. Bezpieczeństwo aplikacji mobilnych - kupisz tutaj.

Na naszej stronie internetowej używamy plików cookie. Niektóre z nich są niezbędne dla funkcjonowania strony, inne pomagają nam w ulepszaniu tej strony i doświadczeń użytkownika (Tracking Cookies). Możesz sam zdecydować, czy chcesz zezwolić na pliki cookie. Należy pamiętać, że w przypadku odrzucenia, nie wszystkie funkcje strony mogą być dostępne.