Zamknij

Strefa RODO
najważniejsze zmiany i nowości

Aktualności

Więcej na naszym blogu.

Infografika

Infografika RODO kluczowe zmiany i nowości

Infografika - 12 najważniejszych zmian i nowości.
Więcej

Projekt RODO 2018

Z kim wdrażać RODO

Z kim realizować wdrożenie RODO?
Więcej

Wdrożenie RODO

Schemat wdrożenia RODO jako produkcji auta - infografika

Ilustrujemy proces wdrożenia i utrzymania RODO.
Więcej

Animacja

Animacja RODO zmiany i nowości

Animacja RODO zmiany i nowości
Więcej

Analiza ryzyka

Unijna referma ochrony danych osobowych analiza zmian

Wyjaśniamy jak szacować ryzyko zgodnie z RODO.
Więcej

Artykuł i szablony

RODO poradnikowy artykuł z szablonami dokumentów

Pierwsze kroki z RODO, poradnikowy artykuł.
Więcej


Co należy uwzględnić wdrażając RODO?

Analiza ryzyka

Dostosowanie środków technicznych i IT
  • określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
  • zdefiniowanie procesów zachodzących w organizacji,
  • zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
  • opracowanie planu postępowania z ryzykiem.
  • określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
  • określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
  • ocena adekwatności zastosowanych zabezpieczeń,
  • stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.

Dostosowanie środków organizacyjnych

Usuwanie danych
  • określenie jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
  • ocena adekwatności zastosowanych do tej pory zabezpieczeń,
  • wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, itd.).
  • analiza danych podlegających niszczeniu i terminów w jakich to jest dokonywane,
  • analiza metod usuwania danych i ich skuteczności,
  • stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.

Wdrożenie zasady przejrzystości

Stworzenie dokumentacji ochrony danych osobowych
  • zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,
  • przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zady przejrzystości,
  • przyjęcie procedur, iż wszystkie komunikaty kierowane do osób, których dane dotyczą są sformułowane jasnym i prostym językiem.
  • przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
  • dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,
  • stworzenie nowych procedur pod kątem wymogów RODO.

Rejestr czynności przetwarzania

Weryfikacja podstaw przetwarzania
  • analiza czy organizacja ma obowiązek stworzyć przedmiotowy rejestr,
  • weryfikacja procesów związanych z przetwarzaniem danych osobowych,
  • stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.
  • przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,
  • weryfikacja podstaw do przetwarzania danych wrażliwych,
  • przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych
  • dostosowanie formularzy zgód na przetwarzanie danych osobowych.

Inspektor ochrony danych

Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania
  • analiza czy organizacja ma obowiązek powołać inspektora ochrony danych osobowych,
  • wskazanie jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i wskazanie zadań,
  • stworzenie funkcji IOD tak aby mogła pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą bezpośredniego kontaktu z nim).
  • stworzenie procedury przejrzystości co do funkcji i przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń) oraz minimalizacji przetwarzania danych osobowych,
  • stworzenie procedur by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Certyfikacja

Zgłaszanie naruszeń
  • analiza potrzeby poddania się przez organizację certyfikacji,
  • weryfikacja gotowości organizacji do poddania się certyfikacji.
  • stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
  • stworzenie szablonu rejestru naruszeń ochrony danych osobowych.

Współadministrowanie

Umożliwienie realizacji praw podmiotu danych
  • zidentyfikowanie spółek wchodzących w skład grupy kapitałowej,
  • analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
  • stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.
  • dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy jej dane osobowe, wygenerować plik z wszystkimi jej danymi osobowymi itd.,
  • stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości.

Dostosowanie procesu profilowania

Spełnienie nowego obowiązku informacyjnego
  • analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych w tym profilowania,
  • ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,
  • stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.
  • analiza jak dotychczas wyglądało spełnianie obowiązku informacyjnego i jakimi kanałami było dokonywane,
  • stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.

Ocena skutków dla ochrony danych

Zmiana współpracy z procesorem
  • analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
  • dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.
  • analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,
  • stworzenie wykazu procesorów,
  • dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.

Dostosowanie zasad transferu danych poza EOG
  • analiza czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy,
  • ustalenie podstaw do przekazywania danych do państwa trzeciego,
  • dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.

Więcej: