Jak rozsądnie podejść do wdrożenia RODO?
Szanowni czytelnicy mojej strony!
Od roku 1997 mieliśmy w Polsce przepisy dot. ochrony danych osobowych, w tym bardzo restrykcyjna Ustawa i akty wykonawcze.
Od 25 maja 2018r. mamy RODO, które nie wywraca ochrony danych osobowych do góry nogami. W zasadzie firmy i organizacje, które wcześniej działały zgodnie z prawem nie miały zbyt dużo do zrobienia, ale jednak pewne zmiany zaszły.
Przeczytaj artykuł pt. „ZROZUMIEĆ RODO”: https://zarzadzanieryzykiem.expert/category/baza-wiedzy/
Wdrożenie RODO wymaga rozsądnego podejścia do tego tematu, a podejście rozsądne zaczyna się od przeczytania i rozumienia RODO. RODO tylko w niewielu sytuacjach wskazuje konkretne wymagania, a głównie opiera wszystkie zasady na profesjonalnie przeprowadzonej analizie ryzyka. RODO wymaga po prostu trzeźwego myślenia o danych osobowych, odnosząc się do aktualnej sytuacji. A ta sytuacja w każdej firmie czy organizacji jest inna.
Reasumując, co musimy wdrożyć? Podaję poniżej:
- rejestr czynności przetwarzania – proponuję choćby najprostszy także w małej firmie, bo sporadyczność przetwarzania danych osobowych występuje rzadko (wcześniej mieliśmy wykazy baz danych)
- analiza ryzyka utraty prywatności – proponuję wykonać ją w odniesieniu do czynności przetwarzania danych (wcześniej mieliśmy analizę ryzyka firmy, a nie analizę ryzyka utraty prywatności)
- ocena skutków dla osób fizycznych (wynik finalny analizy ryzyka)
- procedura i rejestr naruszeń (prowadziliśmy wcześniej analizy incydentów)
- rozsądnie spełniony obowiązek informacyjny wobec właścicieli danych (obowiązek już istniał, trzeba go tylko zmienić)
- dopuszczenie do przetwarzania osób upoważnionych i przeszkolonych (już obowiązywało)
- podpisanie umów powierzenia, opartych na zasadach art.28 RODO (już obowiązywała pisemna forma, ale obecnie trzeba zmienić zasady, więcej obowiązków ma podmiot przetwarzający)
- powołanie Inspektora ochrony danych, jeśli konieczność wynika z RODO (mieliśmy nieobowiązkowego ABI, a teraz podobna choć z nieco zmienionymi obowiązkami funkcja obowiązkowa IOD dla niektórych podmiotów)
A co warto zrobić dodatkowo?
- procedura postępowania przy zgłoszeniu żądania (lepiej ją mieć w stresującej sytuacji)
- procedura archiwizacji danych osobowych (pomocna przy spełnieniu warunku przetwarzania danych tylko do momentu ustania celu przetwarzania)
- Polityka (zmodyfikowany nieco poprzedni dokument)
- Instrukcja informatyczna (zmodyfikowany nieco poprzedni dokument)
- inne pomocne w zarządzaniu ochroną danych dokumenty i procedury
Najnowsze komentarze