Znajdź nas:

Zadzwoń teraz! + 48 799 220 330

Ochrona i przetwarzanie danych osobowych zgodnie z prawem.

 

 

Straszenie tematyką związaną z wdrożeniem RODO w firmach oraz administracji państwowej trwa w najlepsze. Czy słusznie? To zależy od Twojego podejścia do tego tematu. Ostatnią rzeczą, którą możesz zrobić jest jego całkowite bagatelizowanie. Ważne jest zachowanie zdrowego rozsądku oraz zastosowanie takich środków technicznych i organizacyjnych, które będą odpowiadać ryzyku oraz skali przetwarzanych danych. Dlatego jest spora szansa, że nie potrzebujesz sejfu, Inspektora Danych Osobowych na etacie oraz comiesięcznych audytów.

 

 

Jak wdrożyć

 

Skontaktuj się

 

Czy wiesz, że pomocna we wdrożeniu RODO jest Polska Norma ISO/IEC 27001, która wskazuje jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?

Zanim zaczniesz wdrażanie ochrony danych osobowych w swojej firmie, pamiętaj o dwóch podstawowych zasadach

009 social network

PRIVACY BY DESIGN

Zasada prywatności w fazie projektowania oznacza, że każdy projekt, w którym ma istnieć przetwarzanie danych osobowych, powinien zawierać składową w postaci ochrony prywatności.

019 computer 1

PRIVACY BY DEFAULT

Zasada prywatności w ustawieniach domyślnych oznacza, że każdy program lub system, w którym przetwarzane są dane osobowe, powinien zostać tak skonfigurowany, by domyślnie chronił prywatność.

Wdróż RODO krok po kroku uwzględniając poniższe reguły

Prawo do informacji

Każda osoba ma prawo zapytać nas czy jej dane osobowe są przetwarzane w naszej firmie. Naszym obowiązkiem jest przedstawienie czytelnego raportu o miejscach przetwarzania tych danych. W trybie niezwłocznym!

Prawo do zapomnienia

Każda osoba ma prawo zażądać od nas usunięcia ich danych z wszystkich naszych systemów (włącznie z backupami). To zadanie również musisz wykonać niezwłocznie - z konkretną wiedzą czy prawo nie zabrania Ci ich usunąć!

Świadomość aktywów

Zanim podejdziesz do szacowania ryzyk, musisz zinwentaryzować wszystkie aktywa, które mają dostęp do informacji poufnych. Tylko w ten sposób poprawnie wdrożysz RODO w swojej firmie.

Znajomość ryzyka

Gdy poznasz aktywa oraz zyskasz świadomość jak przetwarzane są dane osobowe w Twojej firmie, oszacuj ryzyka dla wszystkich etapów przetwarzania danych. Gdy to zrobisz, postaraj się przewidzieć skutki i następstwa zdarzeń dla wszystkich ryzyk.

Środki techniczne i organizacyjne

Zastanów się jak zminimalizować ryzyko dla poszczególnych etapów przetwarzania danych, wykonaj analizę możliwych do wdrożenia środków technicznych i organizacyjnych, podejmij decyzję, wdrażaj zmiany, monitoruj, kontroluj i doskonal wdrożony system.

Rodo krok po kroku
Inwentaryzacja aktywów

Wykonaj inwentaryzację aktywów

Wszystkie aktywa w organizacji powinny zostać zidentyfikowane. Organizacja musi wiedzieć gdzie przetwarzane są dane osobowe.

 

Aktywa to zasoby informacyjne ( bazy danych, archiwa, umowy, dokumentacja systemowa, materiały szkoleniowe, podręczniki, procedury operacyjne, plan ciągłości działania, wyniki audytów, pliki),  software, aktywa fizyczne (sprzęt komputerowy, sprzęt sieciowy, komunikacyjny, itd.), usługi zewnętrzne (ogrzewanie, prąd, klimatyzacja, oświetlenie, dostarczanie sieci), ludzie (w tym ich kwalifikacje, umiejętności, doświadczenie), reputacja, w tym wizerunek organizacji.

 

Inwentaryzacja aktywów jest etapem wejściowym do szacowania ryzyka.

Określ podstawy przetwarzania danych

Twoja organizacja powinna wiedzieć na jakiej podstawie prawnej przetwarza dane osobowe. Może to być np. zgoda osoby, której dane dotyczą, konieczność realizacji umowy, której stroną jest osoba, której dane dotyczą, konieczność spełnienia obowiązku wynikającego z przepisu prawa lub wykonania zadania realizowanego w interesie publicznym.

 

Prawnie usprawiedliwioną podstawą przetwarzania może być również interes administratora danych osobowych. Za działanie realizowane w prawnie uzasadnionym interesie można uznać przetwarzanie danych w celu dochodzenia roszczeń z tytułu prowadzonej działalności oraz realizacji marketingu bezpośredniego własnych produktów lub usług.

Podstawy prawne przetwarzania danych
Inwentaryzacja czynności przetwarzania

Zinwentaryzuj czynności przetwarzania danych osobowych

W kolejnym kroku zbierz informacje o wszystkich procesach, w których przetwarzane są dane osobowe i przeanalizuj je. Każdy z procesów zinwentaryzuj w Rejestrze Czynności Przetwarzania [RCP]. Taki rejestr dobrze jest prowadzić w łatwym w obsłudze i bezpiecznym narzędziu, takim jak Sharepoint.

Wykonaj analizę ryzyka oraz oceń skutki dla ochrony danych

Ryzykiem nazwiemy wskaźnik stanu lub zdarzenia, które może prowadzić do strat, np. zniszczenia, utracenia, zmodyfikowania lub nieuprawnionego ujawnienia danych osobowych. Metodyka określania ryzyk jest dowolna, jednakże warto posiłkować się tu normą PN-ISO/IEC 27005.

 

Przeprowadzenie oceny skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) ma na celu określenie środków technicznych i organizacyjnych, które Twoja organizacja zastosowała w celu zminimalizowania zidentyfikowanych ryzyk związanych z przetwarzaniem danych osobowych.

Pobierz program
Analiza ryzyka ocena skutków dpia
Rodo powierzenia przetwarzania

Sprawdź swoje relacje z kontrahentami

Sprawdź w tym działaniu przede wszystkim dwie rzeczy: czy ktokolwiek z Twoich kontrahentów uzyskuje dostęp do danych osobowych, których jesteś administratorem oraz czy Ty posiadasz dostęp do takich danych Twoich kontrahentów. Każdy taki przypadek powinien być opisany w umowie powierzenia (lub podpowierzenia – w zależności od przypadku) przetwarzania danych osobowych, która zostanie podpisana przez strony.

Opracuj procedury reagowania na incydenty

RODO przewiduje następujące obowiązki związane z naruszeniem danych osobowych:

  • wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
  • prowadzenie wewnętrznej ewidencji naruszeń;
  • zgłaszanie naruszeń organowi nadzorczemu;
  • powiadamianie osoby, której dane dotyczą o naruszeniu;
  • podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

 

Stwórz procedury, które ujednolicą, usprawnią oraz przyśpieszą działania w przypadku wykrycia naruszenia ochrony danych. Każde naruszenie powinno być opisane w Rejestrze Naruszeń.

Rodo niezwłoczna reakcja na incydenty
Transfer danych do państw trzecich rodo

Dokonuj weryfikacji transferu danych do państw trzecich

Wykonaj analizę wszystkich przypadków przekazywania danych osobowych poza Europejski Obszar Gospodarczy (EOG) i sprawdź czy jest to niezbędne do realizacji celu oraz czy posiadasz podstawy prawne przekazywania tych danych do państw trzecich.

 

Jeśli dokonujesz transferu danych osobowych do państw trzecich, przygotuj odpowiednie klauzule i zgody na taki transfer. Sporządź klauzule w umowach, których używasz lub inne instrumenty prawne, umożliwiające transferowanie danych do państw trzecich.

Stwórz politykę bezpieczeństwa i przeszkól personel

Głównym celem istnienia polityki bezpieczeństwa jest stworzenie odpowiednich reguł i zasad postępowania z danymi osobowymi oraz wskazanie działań jakie należy podjąć, aby poprawnie je zabezpieczyć. Należy podkreślić, że polityka bezpieczeństwa może być wzbogacona o więcej informacji i obszarów, znacznie wykraczających poza ochronę samych danych osobowych.

 

Po wdrożeniu polityki bezpieczeństwa, należy wykonać szkolenie pracowników z ochrony danych osobowych, uwzględniające wszystkie procedury dotyczące ochrony danych osobowych.

Polityka bezpieczeństwa ochrony danych osobowych
Chcesz wiedzieć więcej?
Porozmawiajmy
Rozmowa nic nie kosztuje. Wybierz najbardziej wygodną dla siebie formę kontaktu. Do wyboru masz kontakt mailowy, rozmowę telefoniczną, wideokonferencję Skype, a także spotkanie w Twojej firmie lub ulubionej kawiarni.

Osoba kontaktowa

Telefon kontaktowy

E-mail kontaktowy

Nazwa firmy

NIP firmy

Dodatkowe informacje



Top