RODO (GDPR)
Rozporządzenie o ochronie danych osobowych
To unijne rozporządzenie dotyczące ochrony danych osobowych. Zmiany, jakie po 25 maja 2018 roku muszą wprowadzić podmioty przetwarzające dane osobowe w krajach członkowskich, są poważne. Na horyzoncie wprowadzanych zmian widać widmo kar liczonych w milionach PLN.
Podstawowe informacje o RODO
RODO (dyrektywa 95/46/WE) obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe. Przepisy wejdą w życie od 25.05.2018 roku. Nowe przepisy dotyczące danych osobowych są oparte na 5 głównych filarach:
- legalność przetwarzania danych,
- świadomość osób przetwarzających dane osobowe,
- zabezpieczeniach technicznych i organizacyjnych,
- obowiązku notyfikacyjnego do regulatora (incydenty, wyznaczenie inspektora ochrony danych),
- obowiązku informacyjnego i prawa przysługującego osobom, których dane są przetwarzane.
Projekt wdrożenia RODO powinniśmy traktować jako szansę – na optymalizację procesów – na pozbycie się zbędnych zasobów – na ograniczanie ryzyk.
Jak pomagamy we wdrożeniu RODO:
- przeprowadzamy audyt zgodności z RODO,
- inwentaryzujemy procesy przetwarzania danych oraz sporządzamy analizy ryzyka,
- audytujemy i wskazujemy na luki w środowisku teleinformatycznym,
- sprawdzamy i analizujemy istniejące polityki i procedury,
- wdrażamy aplikację biznesową inspektor365.pl,
- szkolimy pracowników z zasad i postępowań dotyczących procesu przetwarzania danych osobowych,
- wykonujemy audyt zamknięcia.
Audyty i wdrożenia wykonujemy dla sektora biznesowego oraz sektora administracji publicznej. Prowadzimy również opiekę poaudytową opartą na umowach o stałej współpracy.
Krótko o samy RODO
Najważniejszymi elementami rozporządzenia, z którymi każdy podmiot przetwarzający dane osobowe musi się zmierzyć to:
1. Rejestr czynności przetwarzania danych osobowyc
- zapisujemy wszystkie czynności związane z przetwarzaniem danych osobowych,
- przetwarzamy dane za pomocą kategoryzacji danych lub celu ich przetwarzania,
- określamy czynności przetwarzania tych danych,
- przypisujemy do każdej kategorii czynności operacje przetwarzania,
- analizujemy i aktualizujemy rejestr na bieżąco.
2. Prawo do bycia zapomnianym
- zapewniamy odpowiednie techniczne i organizacyjne środki pozwalające na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym,
- mamy pełną wiedzę o miejscu przechowywania danych osobowych (np. serwer, poczta, aplikacje, dyski, kopie zapasowe, pendrive, chmura obliczeniowa, dokumenty papierowe itd.),
- informujemy podmioty, z którymi współpracujemy (np. partnerzy biznesowi, dostawcy) przetwarzający również te dane o ich konieczności usunięcia.
3. Prawo do przenoszalności danych osobowych
- mając jakikolwiek program lub system informatyczny, w którym odbywa się przetwarzanie danych osobowych, jesteśmy zobowiązani do określenia takich postępowań i procedur, aby umożliwić sprawne przeniesienie danych wnioskującej osoby,
- dane przekazujemy w formacie, który jest łatwy do elektronicznego odczytu (np. plik XML, CSV itd.).
4. Uzyskiwanie zgody dziecka
- jesteśmy zobowiązani do podjęcia działań w celu weryfikacji zgody lub aprobaty rodzica/opiekuna prawnego, gdy mamy do czynienia z procesem zbierania zgód marketingowych od małoletnich (np. udział dziecka w konkursie internetowym, zakupy w e-sklepie).
5. Obowiązek aktualizowania uzyskanych zgód na przetwarzanie danych po wejściu RODO w życie
- aktualizujemy każdą „starą” zgodę na przetwarzanie danych osobowych, jeśli ta nie jest zgodna z zasadami określonymi w RODO,
- jeśli osoba na etapie zbierania danych (zbierania zgód) nie została poinformowania o prawie do możliwości cofnięcia zgody, musimy ją teraz o tym prawie poinformować.
6. Anonimizacja oraz pseudonimizacja
- jeżeli przeprowadziliśmy anonimizację w sposób skuteczny, to nie będziemy już przetwarzać danych osobowych, w rozumieniu RODO (np. czynności, które doprowadziły w sposób nieodwracalny do możliwości zidentyfikowania osoby fizycznej),
- jeżeli przeprowadziliśmy proces pseudonimizacji, czyli zastąpienia jednego atrybutu innym (np. imienia i nazwiska kodem cyfrowym) i jesteśmy w stanie przy użyciu (np. klucza szyfrującego) zidentyfikować konkretną osobę fizyczną, to podlegamy pod RODO.
7. Obowiązek zgłaszania naruszeń przepisów RODO
- jesteśmy zobowiązani do dokumentowania, każdego naruszenia/incydentu związanego z ochroną danych osobowych i zgłoszenia tego w ciągu 72 godzin,
- jeśli incydent może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, musimy bez zbędnej zwłoki zawiadomić osobę, której te dane dotyczą.
Nasze wieloletnie doświadczenie
Dzięki wieloletniemu doświadczeniu w przeprowadzaniu audytów dotyczących przetwarzania danych osobowych zgodnych z wytycznymi GIODO stworzyliśmy proste narzędzie, które pozwoli uporządkować cały proces przetwarzania danych osobowych zgodny z RODO.
Jesteśmy sprawdzonym partnerem
Nasi specjaliści mają duże doświadczenie poparte wysokimi kompetencjami w audytowaniu systemów zarządzania bezpieczeństwem informacji, ochrony danych osobowych i oceny ryzyka ciągłości działania. Przeprowadzając audyty korzystamy z najlepszych rozwiązań IT do skanowania sieci i wyszukiwania podatności.
