Ochrona danych osobowych – baza wiedzy

A silhouette of a hacker with a black hat in a suit enters a hallway with walls textured with red digital glowing security threat icons 3D illustration cybersecurity concept Jak rozsądnie podejść do wdrożenia RODO?

Szanowni czytelnicy mojej strony!

Od roku 1997 mieliśmy w Polsce przepisy dot. ochrony danych osobowych, w tym bardzo restrykcyjna Ustawa i akty wykonawcze.

Od 25 maja 2018r. mamy RODO, które nie wywraca ochrony danych osobowych do góry nogami. W zasadzie firmy i organizacje, które wcześniej działały zgodnie z prawem nie miały zbyt dużo do zrobienia, ale jednak pewne zmiany zaszły.

Przeczytaj artykuł pt. „ZROZUMIEĆ RODO”: https://zarzadzanieryzykiem.expert/category/baza-wiedzy/

Wdrożenie RODO wymaga rozsądnego podejścia do tego tematu, a podejście rozsądne zaczyna się od przeczytania i rozumienia RODO. RODO tylko w niewielu sytuacjach wskazuje konkretne wymagania, a głównie opiera wszystkie zasady na profesjonalnie przeprowadzonej analizie ryzyka. RODO wymaga po prostu trzeźwego myślenia o danych osobowych, odnosząc się do aktualnej sytuacji. A ta sytuacja w każdej firmie czy organizacji jest inna.

Reasumując, co musimy wdrożyć? Podaję poniżej:

  1. rejestr czynności przetwarzania – proponuję choćby najprostszy także w małej firmie, bo sporadyczność przetwarzania danych osobowych występuje rzadko (wcześniej mieliśmy wykazy baz danych)
  2. analiza ryzyka utraty prywatności – proponuję wykonać ją w odniesieniu do czynności przetwarzania danych (wcześniej mieliśmy analizę ryzyka firmy, a nie analizę ryzyka utraty prywatności)
  3. ocena skutków dla osób fizycznych (wynik finalny analizy ryzyka)
  4. procedura i rejestr naruszeń (prowadziliśmy wcześniej analizy incydentów)
  5. rozsądnie spełniony obowiązek informacyjny wobec właścicieli danych (obowiązek już istniał, trzeba go tylko zmienić)
  6. dopuszczenie do przetwarzania osób upoważnionych i przeszkolonych (już obowiązywało)
  7. podpisanie umów powierzenia, opartych na zasadach art.28 RODO (już obowiązywała pisemna forma, ale obecnie trzeba zmienić zasady, więcej obowiązków ma podmiot przetwarzający)
  8. powołanie Inspektora ochrony danych, jeśli konieczność wynika z RODO (mieliśmy nieobowiązkowego ABI, a teraz podobna choć z nieco zmienionymi obowiązkami funkcja obowiązkowa IOD dla niektórych podmiotów)

A co warto zrobić dodatkowo?

  1. procedura postępowania przy zgłoszeniu żądania (lepiej ją mieć w stresującej sytuacji)
  2. procedura archiwizacji danych osobowych (pomocna przy spełnieniu warunku przetwarzania danych tylko do momentu ustania celu przetwarzania)
  3. Polityka (zmodyfikowany nieco poprzedni dokument)
  4. Instrukcja informatyczna (zmodyfikowany nieco poprzedni dokument)
  5. inne pomocne w zarządzaniu ochroną danych dokumenty i procedury