Strefa RODO
najważniejsze zmiany i nowości

Aktualności

Więcej na naszym blogu.

Infografika

Infografika - 12 najważniejszych zmian i nowości.

Więcej

Projekt RODO 2018

z kim realizować wdrożenie RODO?

Więcej

Wdrożenie RODO

Schemat wdrożenia RODO jako produkcji auta - infografika

Ilustrujemy proces wdrożenia i utrzymania RODO.

Więcej

Animacja

Animacja RODO zmiany i nowości

Więcej

Analiza ryzyka

Unijna referma ochrony danych osobowych analiza zmian

Wyjaśniamy jak szacować ryzyko zgodnie z RODO.

Więcej

Artykuł i szablony

RODO poradnikowy artykuł z szablonami dokumentów

Pierwsze kroki z RODO, poradnikowy artykuł.

Więcej

Co należy uwzględnić wdrażając RODO?

Analiza ryzyka	Dostosowanie środków technicznych i IT
określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO, zdefiniowanie procesów zachodzących w organizacji, zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń, opracowanie planu postępowania z ryzykiem. Zachęcamy do lektury naszego bloga „Analiza ryzyka dla zasobów przetwarzających dane osobowe – udostępniamy formularz” „Szacowanie ryzyka zgodnie z RODO cz. 1 – Wprowadzenie” „Szacowanie ryzyka zgodnie z RODO cz. 2 – Identyfikacja, pomiar, analiza i prawdopodobieństwo” „Szacowanie ryzyka zgodnie z RODO cz. 3 – Analiza, ocena i postępowanie z ryzykiem” „Szacowanie ryzyka w ochronie danych osobowych – podejście praktyczne”	określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie, określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO, ocena adekwatności zastosowanych zabezpieczeń, stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków. Zachęcamy do lektury naszego bloga „Jak narzędzia IT mogą pomóc wywiązać się z wymogów RODO” „Systemy w służbie ochrony danych” „Pseudonimizacja danych wyjaśniamy pojęcie” „Backup polisą ubezpieczeniową XXI w.” „Backup polisą ubezpieczeniową XXI w. – rodzaje kopii zapasowych i ich zastosowanie” „Bezpieczeństwo danych podczas naprawy sprzętu firmowego” „Polityka haseł – nowe zasady na gruncie RODO”

Analiza ryzyka

Dostosowanie środków technicznych i IT

określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
zdefiniowanie procesów zachodzących w organizacji,
zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
opracowanie planu postępowania z ryzykiem.

Zachęcamy do lektury naszego bloga

określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
ocena adekwatności zastosowanych zabezpieczeń,
stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.

Zachęcamy do lektury naszego bloga

Dostosowanie środków organizacyjnych	Usuwanie danych
określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie, ocena adekwatności zastosowanych do tej pory zabezpieczeń, wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.). Zachęcamy do lektury naszego bloga „Klauzule RODO”	analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane, analiza metod usuwania danych i ich skuteczności, stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych. Zachęcamy do lektury naszego bloga „Stosowanie RODO porady i szablony dokumentów” „Konsekwencje nieprzestrzegania procedur ochrony danych osobowych”

Dostosowanie środków organizacyjnych

Usuwanie danych

określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
ocena adekwatności zastosowanych do tej pory zabezpieczeń,
wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.).

Zachęcamy do lektury naszego bloga

„Klauzule RODO”

analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane,
analiza metod usuwania danych i ich skuteczności,
stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.

Zachęcamy do lektury naszego bloga

Wdrożenie zasady przejrzystości	Stworzenie dokumentacji ochrony danych osobowych
zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem, przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości, przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem. Zachęcamy do lektury naszego bloga „Klauzule RODO”	przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych, dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka, stworzenie nowych procedur pod kątem wymogów RODO. Zachęcamy do lektury naszego bloga „Stosowanie RODO – porady i szablony dokumentów” „Konsekwencje nieprzestrzegania procedur ochrony danych osobowych”

Wdrożenie zasady przejrzystości

Stworzenie dokumentacji ochrony danych osobowych

zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,
przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości,
przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem.

Zachęcamy do lektury naszego bloga

„Klauzule RODO”

przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,
stworzenie nowych procedur pod kątem wymogów RODO.

Zachęcamy do lektury naszego bloga

Rejestr czynności przetwarzania	Weryfikacja podstaw przetwarzania
analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr, weryfikacja procesów związanych z przetwarzaniem danych osobowych, stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów. Zachęcamy do lektury naszego bloga „Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO”	przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych, weryfikacja podstaw do przetwarzania danych wrażliwych, przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych dostosowanie formularzy zgód na przetwarzanie danych osobowych. Zachęcamy do lektury naszego bloga „Identyfikatory a RODO – jakie dane mogą zawierać?”

Rejestr czynności przetwarzania

Weryfikacja podstaw przetwarzania

analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr,
weryfikacja procesów związanych z przetwarzaniem danych osobowych,
stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.

Zachęcamy do lektury naszego bloga

„Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO”

przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,
weryfikacja podstaw do przetwarzania danych wrażliwych,
przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych
dostosowanie formularzy zgód na przetwarzanie danych osobowych.

Zachęcamy do lektury naszego bloga

„Identyfikatory a RODO – jakie dane mogą zawierać?”

Inspektor ochrony danych	Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania
analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych, wskazanie jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i wskazanie zadań, stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim). Zachęcamy do lektury naszego bloga „IOD zamiast ABI – jak powiadomić Prezesa Urzędu Ochrony Danych Osobowych?” „IOD własny czy z outsourcingu – plusy i minusy” „Inspektor ochrony danych w środowisku ubezpieczeniowym” „Inspektor ochrony danych wciąż poszukiwany”	stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych, stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. Zachęcamy do lektury naszego bloga „Jak uwzględnić prywatność w fazie projektowania? O wymogu privacy by design dla tych, którzy wolą zapobiegać niż leczyć”

Inspektor ochrony danych

Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania

analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych,
wskazanie jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i wskazanie zadań,
stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim).

Zachęcamy do lektury naszego bloga

stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych,
stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Zachęcamy do lektury naszego bloga

„Jak uwzględnić prywatność w fazie projektowania? O wymogu privacy by design dla tych, którzy wolą zapobiegać niż leczyć”

Certyfikacja	Zgłaszanie naruszeń
analiza potrzeby poddania się przez organizację certyfikacji, weryfikacja gotowości organizacji do poddania się certyfikacji.	stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych, stworzenie szablonu rejestru naruszeń ochrony danych osobowych. Zachęcamy do lektury naszego bloga Aktywność UODO podczas epidemii czego możemy się nauczyć na podstawie ostatnich naruszeń? „Kalkulator wagi naruszeń ochrony danych osobowych” „Zarządzanie naruszeniami – plan działania” „Zgłaszanie incydentów” „Identyfikacja naruszeń ochrony danych osobowych w sektorze ubezpieczeń” „Raportowanie do organu nadzorczego o własnych naruszeniach”

Certyfikacja

Zgłaszanie naruszeń

analiza potrzeby poddania się przez organizację certyfikacji,
weryfikacja gotowości organizacji do poddania się certyfikacji.

stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
stworzenie szablonu rejestru naruszeń ochrony danych osobowych.

Zachęcamy do lektury naszego bloga

Współadministrowanie	Umożliwienie realizacji praw podmiotu danych
zidentyfikowanie spółek wchodzących w skład grupy kapitałowej, analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów, stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi. Zachęcamy do lektury naszego bloga „Współadministratorzy danych – co zmienia RODO?”	dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd., stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości. Zachęcamy do lektury naszego bloga „Prawo do ograniczenia przetwarzania (art. 18 RODO)”

Współadministrowanie

Umożliwienie realizacji praw podmiotu danych

zidentyfikowanie spółek wchodzących w skład grupy kapitałowej,
analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.

Zachęcamy do lektury naszego bloga

„Współadministratorzy danych – co zmienia RODO?”

dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd.,
stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości.

Zachęcamy do lektury naszego bloga

„Prawo do ograniczenia przetwarzania (art. 18 RODO)”

Dostosowanie procesu profilowania	Spełnienie nowego obowiązku informacyjnego
analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania, ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany, stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą. Zachęcamy do lektury naszego bloga „Dzieci w sieci. Czy Facebook na pewno za zgodą rodzica?” „Czy RODO unieważni zgody marketingowe?”	analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane, stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane. Zachęcamy do lektury naszego bloga „Obowiązek informacyjny w świetle pierwszej kary PUODO”

Dostosowanie procesu profilowania

Spełnienie nowego obowiązku informacyjnego

analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania,
ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,
stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.

Zachęcamy do lektury naszego bloga

analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane,
stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.

Zachęcamy do lektury naszego bloga

„Obowiązek informacyjny w świetle pierwszej kary PUODO”

Ocena skutków dla ochrony danych	Zmiana współpracy z procesorem
analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych. Zachęcamy do lektury naszego bloga „Ocena skutków dla ochrony danych (DPIA) – udostępniamy formularz”	analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem, stworzenie wykazu procesorów, dostosowanie nowego wzoru umowy powierzenia do wymogów RODO. Zachęcamy do lektury naszego bloga „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – udostępniamy gotowy wzór” „Powierzenie przetwarzania danych osobowych – czym dokładnie jest i kiedy je stosujemy?” „Zgodność procesora z RODO – sposoby jej weryfikacji” „Nowe obowiązki procesorów danych osobowych”

Ocena skutków dla ochrony danych

Zmiana współpracy z procesorem

analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.

Zachęcamy do lektury naszego bloga

„Ocena skutków dla ochrony danych (DPIA) – udostępniamy formularz”

analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,
stworzenie wykazu procesorów,
dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.

Zachęcamy do lektury naszego bloga

Dostosowanie zasad transferu danych poza EOG
analiza czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy, ustalenie podstaw do przekazywania danych do państwa trzeciego, dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO. Zachęcamy do lektury naszego bloga „Było Safe Harbour, a będzie Privacy Shield. Czyli kolejna próba uregulowania przepływu danych do USA”

Dostosowanie zasad transferu danych poza EOG

analiza czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy,
ustalenie podstaw do przekazywania danych do państwa trzeciego,
dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.

Zachęcamy do lektury naszego bloga

„Było Safe Harbour, a będzie Privacy Shield. Czyli kolejna próba uregulowania przepływu danych do USA”

Strefa RODOnajważniejsze zmiany i nowości

Aktualności

Infografika

Projekt RODO 2018

Wdrożenie RODO

Animacja

Analiza ryzyka

Artykuł i szablony

Co należy uwzględnić wdrażając RODO?

Analiza ryzyka

Dostosowanie środków technicznych i IT

Dostosowanie środków organizacyjnych

Usuwanie danych

Wdrożenie zasady przejrzystości

Stworzenie dokumentacji ochrony danych osobowych

Rejestr czynności przetwarzania

Weryfikacja podstaw przetwarzania

Inspektor ochrony danych

Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania

Certyfikacja

Zgłaszanie naruszeń

Współadministrowanie

Umożliwienie realizacji praw podmiotu danych

Dostosowanie procesu profilowania

Spełnienie nowego obowiązku informacyjnego

Ocena skutków dla ochrony danych

Zmiana współpracy z procesorem

Dostosowanie zasad transferu danych poza EOG

Więcej:

Strefa RODO
najważniejsze zmiany i nowości