Baza wiedzy

RODO, czyli Ogólne Rozporządzenie o Ochronie Danych wprowadzone w postaci Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 zostało stworzone po to, by zoptymalizować i ujednolicić sposoby ochrony wrażliwych danych personalnych. Rozporządzenie zajmuje się ochroną danych fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnym przepływem takich danych. Firmy, które są administratorami danych osobowych lub zajmują się ich przetwarzaniem muszą stosować się do wymagań RODO od 25 maja 2018 roku. W jaki sposób wdrożyć RODO w firmie?

Podstawowe zasady RODO

Przed wdrożeniem zasad RODO w firmie należy w pierwszej kolejności dokładnie zapoznać się z wymogami Ogólnego Rozporządzenia o Ochronie Danych i zrozumieć istotę ich ochrony. Samo rozporządzenie nie określa ścisłych reguł, jakie mają zostać spełnione w celu ochrony danych osobowych, a jedynie wprowadza wytyczne na których należy opierać opracowywane i zmieniane systemy zarządzania bezpieczeństwem danych.

 

Według RODO, przez dane osobowe należy rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwość taką ma dawać imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, a także jeden lub kilka szczególnych znaków fizycznych, fizjologicznych, genetycznych, psychicznych, ekonomicznych, kulturowych lub społecznych określających tożsamość osoby fizycznej.

 

W trakcie wdrażania RODO w firmie znaczenie będzie miało 7 zasad przetwarzania danych osobowych wprowadzonych przez rozporządzenie:

 

  • zasada zgodności z prawem, rzetelności i przejrzystości (dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą);
  • zasada ograniczenia celu (dane zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami);
  • zasada minimalizacji danych (zbieranie danych ograniczone do tych niezbędnych, adekwatnych do celów ich przetwarzania),
  • zasada prawidłowości danych (podane dane powinny być prawidłowe i w razie potrzeby uaktualniane, a nieprawidłowe niezwłocznie usunięte lub sprostowane),
  • zasada ograniczenia przechowania danych (dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane),
  • zasada integralności i poufności danych (dane powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem),
  • zasada rozliczalności (administrator musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z w/w zasadami)

Wdrożenie RODO w firmie – na czym się skupić?

Zastosowanie się do powyższych zasad wymaga wprowadzenia pewnych rozwiązań, które zagwarantują bezpieczeństwo przechowywania i przetwarzania danych. Kluczem jest nie tylko zbieranie zgód na przetwarzanie danych osobowych i wprowadzenie klauzuli informacyjnej, ale faktyczne wdrożenie rozwiązań gwarantujących bezpieczeństwo danych nie tylko teraz, ale i w przyszłości. Na początek warto przeprowadzić więc dokładny audyt RODO, który sprawdzi już obowiązujące w firmie zasady i pomoże przygotować firmę do wdrożenia nowych rozwiązań.

 

Kolejnym ważnym elementem wdrażania ROOD w firmie będzie prowadzenie rejestru czynności przetwarzania wymaganego zgodnie z art. 30 rozporządzenia RODO. Obowiązkowi prowadzenia rejestru czynności przetwarzania podlegają przedsiębiorcy lub podmioty zatrudniające powyżej 250 osób oraz przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, jeżeli przetwarzanie przez nich danych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, przetwarzanie nie ma charakteru sporadycznego lub gdy przetwarzane dane obejmują szczególną kategorie danych osobowych, o których mowa w art. 9 ust 1 rozporządzenia RODO (tzw. dane wrażliwe).

 

Nawiązując ponownie do audytu RODO, istotnym punktem wdrażania RODO w firmie jest analiza ryzyka – dokument tworzony indywidualnie dla każdego podmiotu, zbierający informacje o szacowanym ryzyku związanym z przetwarzaniem danych. Szacowanie ryzyka wymaga ustalenia zasobów, które mają być chronione, ustalenia rodzajów i poziomów zagrożeń, zasad postępowania z ryzykiem oraz zasad monitorowania ryzyka, w tym czasu przeprowadzenia kolejnej analizy.

Powołanie Inspektora Ochrony Danych Osobowych

Ostatnim, choć nie mniej ważnym krokiem w przygotowaniu firmy do spełniania warunków RODO jest powołanie Inspektora Ochrony Danych Osobowych (IOD), który może być osobą z wewnątrz firmy lub specjalistą z zewnątrz, powołanym na zasadzie outsourcingu usług oferowanym także przez Security Partners.

 

Obowiązek powołania IOD mają podmioty publiczne oraz prywatne prowadzące działalność z zakresu zadań publicznych, firmy prywatne, których główna działalność polega na operacjach przetwarzania danych oraz te, które przetwarzają na dużą skalę szczególne kategorie danych osobowych (dane wrażliwe). IOD będzie informował firmę i jej pracowników o obowiązkach względem RODO, monitorował przestrzeganie RODO, dzielił obowiązki, zwiększał świadomość i szkolił w zakresie bezpiecznego przetwarzania danych oraz współpracował z organem nadzorczym.