Zamknij
Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Strefa RODO
najważniejsze zmiany i nowości

Przedstawiamy praktyczne informacje, które zobrazują kluczowe zmiany jakie czekają nas w przepisach z zakresu ochrony danych osobowych.

Wideo infografika o RODO

Każdy podmiot przetwarzający dane osobowe musi przygotować się na ważne zmiany. W 2016 r. weszły w życie, a od 25 maja 2018 r. obowiązują przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Rewolucja w przepisach, której jesteśmy świadkami, następuje po ponad dwudziestu latach od uchwalenia dyrektywy 95/46/WE, będącej "matką" obecnych przepisów w całej Unii Europejskiej. Nowe przepisy wprowadzają bardzo dużo zmian, u podstaw legła bowiem zasada rozliczalności i obowiązek dokonywania szacowania ryzyka związanego z przetwarzaniem danych osobowych.

Proces dostosowywania będzie długotrwały, dlatego przygotowania należy zacząć jak najszybciej, aby 25 maja 2018 r. funkcjonujący w organizacji system ochrony danych osobowych był zgody z wymaganiami przepisów RODO. Pomocne w zakresie przygotowań do RODO, może okazać się zapoznanie z przepisami projektu „nowej” ustawy o ochronie danych osobowych z 12 września 2017r., opublikowanego przez Ministerstwo Cyfryzacji. Projekt reguluje miedzy innymi zagadnienia dotyczące certyfikacji, trybu postępowania przed UODO oraz czynności kontrolnych prowadzonych przez UODO.

Aktualności:

Więcej na naszym blogu.

Infografika

Infografika RODO kluczowe zmiany i nowości

Infografika - 12 najważniejszych zmian i nowości.
Więcej

Projekt RODO 2018

Z kim wdrażać RODO

Z kim realizować wdrożenie RODO?
Więcej

Wdrożenie RODO

Schemat wdrożenia RODO jako produkcji auta - infografika

Ilustrujemy proces wdrożenia i utrzymania RODO.
Więcej

Poradnik RODO

Bezpłatny poradnik reforma ochrony danych osobowych (RODO) w UE - 24 kluczowe zmiany

Bezpłatny poradnik - 24 kluczowe zmiany.
Więcej

Analiza ryzyka

Unijna referma ochrony danych osobowych analiza zmian

Wyjaśniamy jak szacować ryzyko zgodnie z RODO.
Więcej

"Super urząd"

Projekt ustawy o ochronie danych osobowych

Jakie kompetencje będzie miał nowy urząd nadzorczy?
Więcej


Więcej:

Co należy uwzględnić wdrażając RODO?

Analiza ryzyka Dostosowanie środków technicznych i IT
  • określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
  • zdefiniowanie procesów zachodzących w organizacji,
  • zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
  • opracowanie planu postępowania z ryzykiem.
  • określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
  • określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
  • ocena adekwatności zastosowanych zabezpieczeń,
  • stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.
Dostosowanie środków organizacyjnych Usuwanie danych
  • określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
  • ocena adekwatności zastosowanych do tej pory zabezpieczeń,
  • wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.).
  • analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane,
  • analiza metod usuwania danych i ich skuteczności,
  • stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.
Wdrożenie zasady przejrzystości Stworzenie dokumentacji ochrony danych osobowych
  • zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,
  • przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości,
  • przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem.
  • przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
  • dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,
  • stworzenie nowych procedur pod kątem wymogów RODO.
Rejestr czynności przetwarzania Weryfikacja podstaw przetwarzania
  • analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr,
  • weryfikacja procesów związanych z przetwarzaniem danych osobowych,
  • stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.
  • przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,
  • weryfikacja podstaw do przetwarzania danych wrażliwych,
  • przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych
  • dostosowanie formularzy zgód na przetwarzanie danych osobowych.
Inspektor ochrony danych Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania
  • analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych,
  • wskazanie jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i wskazanie zadań,
  • stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim).
  • stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych,
  • stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.
Certyfikacja Zgłaszanie naruszeń
  • analiza potrzeby poddania się przez organizację certyfikacji,
  • weryfikacja gotowości organizacji do poddania się certyfikacji.
  • stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
  • stworzenie szablonu rejestru naruszeń ochrony danych osobowych.
Współadministrowanie Umożliwienie realizacji praw podmiotu danych
  • zidentyfikowanie spółek wchodzących w skład grupy kapitałowej,
  • analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
  • stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.
  • dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd.,
  • stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości.
Dostosowanie procesu profilowania Spełnienie nowego obowiązku informacyjnego
  • analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania,
  • ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,
  • stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.
  • analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane,
  • stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.
Ocena skutków dla ochrony danych Zmiana współpracy z procesorem
  • analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
  • dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.
  • analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,
  • stworzenie wykazu procesorów,
  • dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.
Dostosowanie zasad transferu danych poza EOG
  • analiza czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy,
  • ustalenie podstaw do przekazywania danych do państwa trzeciego,
  • dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.