Home Prawo Ochrona danych osobowych – nowe przepisy

Ochrona danych osobowych – nowe przepisy

Coraz częściej słyszymy o nowych regulacjach, jakie wprowadza europejskie rozporządzenie o ochronie danych osobowych (RODO). Zaczną one obowiązywać od 25 maja 2018 r. Tego dnia wszystkie procesy w firmach powinny być dostosowane do nowych przepisów.  Fundacja Wiedza To Bezpieczeństwo wskazuje, że ich wdrożenie – pod warunkiem dobrego zaplanowania i zdecydowanych działań – zajmie przynajmniej klika miesięcy. A także podpowiada, jak przedsiębiorcy mogą skutecznie przygotować się do stosowania nowego prawa.

Może wydawać się, że wdrożenie odpowiedniego systemu ochrony danych osobowych zgodnego z przepisami RODO jest procesem trudnym. Aby mieć gwarancję, że cała procedura przebiegnie efektywnie, należy odpowiednio wcześnie się do tego przygotować i właściwie zidentyfikować problemy, które mogą się pojawić– mówi adw. Marcin Zadrożny, Ekspert ds. ochrony danych, ODO 24.

Od czego zacząć przygotowania do RODO?

  1. Wybierz sposób wdrożenia

Nowe przepisy można wprowadzić z wykorzystaniem własnych pracowników. Zwłaszcza, jeżeli firma posiada dział bezpieczeństwa lub compliance. Alternatywą jest wybór ekspertów zewnętrznych, którzy posiadają wypracowaną metodologię działań. Przy wdrożeniu RODO niezbędna jest wiedza interdyscyplinarna.

  1. Powołaj zespół wdrożeniowy

Przygotowanie do RODO jest procesem angażującym całą organizację. Dlatego konieczne jest powołanie odpowiedniego zespołu, który będzie czuwał nad całością prac wdrożeniowych.

  1. Stwórz harmonogram

Wskazanie zakresu prac oraz terminów wykonywania poszczególnych etapów przystosowywania firmy do RODO jest elementem, który pozwali określić jaki etap będzie najbardziej pracochłonny i kosztowny oraz od czego należałoby zacząć.

  1. Przeanalizuj ryzyko i przeprowadź DPIA

Unijne rozporządzenie wymusza na przedsiębiorcach dokonanie analizy ryzyka przetwarzania danych, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający temu ryzyku poprzez wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Dopiero, na postawie oceny ryzyka firmy mogą zdecydować, jakie zabezpieczenia należy wprowadzić. Ocena skutków przetwarzania dla ochrony danych (DPIA) jest istotnym i nowym narzędziem mającym na celu pomoc administratorom danych w wykazaniu, że podjęto odpowiednie środki w celu zapewnieniu zgodności z RODO.

  1. Dostosuj systemy IT

Systemy IT muszą przede wszystkim realizować prawa osób, których dane dotyczą, a zastosowane środki techniczne i organizacyjne powinny być wynikiem uprzednio wykonanej analizy ryzyka. Dodatkowo administrator danych osobowych powinien zapewnić zdolność do ciągłego zapewnienia poufności, integralności dostępności i odporności systemów i usług przetwarzania oraz powinien regularnie testować, mierzyć, oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

  1. Organizuj szkolenia

Aby mieć pewność, że nowy system ochrony danych osobowych funkcjonuje sprawnie  nie wystarczy jednorazowa realizacja zadań służących dostosowaniu się do nowych procedur. Konieczne jest przygotowanie wszystkich pracowników upoważnionych do przetwarzania danych i  dostarczenie im odpowiedniej wiedzy. Człowiek, to zawsze najsłabsze ogniwo każdego systemu, w tym systemu ochrony danych osobowych.

  1. Dostosuj klauzule informacyjne

Do tej pory obejmowały one wyłącznie wąski zakres informacji. RODO rozszerza obowiązek informacyjny m.in. o okres przechowywania danych osobowych, informacje o wszystkich prawach przysługujących osobie, której dane dotyczą, cofnięciu zgody na przetwarzanie danych, ewentualnym profilowaniu czy prawie wniesienia skargi do organu nadzorczego – dziś GIODO, a na gruncie stosowania RODO najprawdopodobniej Urzędu Ochrony Danych Osobowych.

  1. Przygotuj wewnętrzne procedury

Wszystkie obowiązujące w firmie zasady powinny zostać uaktualnione, dostosowane i rozbudowane o nowe obowiązki, wynikające z RODO. Należy zwrócić szczególną uwagę na to by dostosować proces przetwarzania danych osobowych pod względem m.in. wymogów legalności, adekwatności i przejrzystości.

  1. Upewnij się, czy Twoja firma musi powołać Inspektora Ochrony Danych

Po wprowadzeniu nowego prawa Inspektor Ochrony Danych (IOD) będzie odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI). Aktualnie powołanie ABI nie jest obligatoryjne. RODO reguluje tę kwestię w sposób odmienny i wymusza powołanie IOD np. w organach i podmiotach publicznych oraz gdy np. główna działalność podmiotu polega na przetwarzaniu danych osobowych szczególnej kategorii (np. dot. stanu zdrowia) czy wyroków skazujących i naruszeń prawa.

  1. Zaplanuj audyt zamknięcia

… czyli weryfikację i ocenę wszystkich działań dostosowawczych. Warto by firmy przeprowadziły również porównanie aktualnego systemu ochrony z jego stanem sprzed wdrożenia. Audyt zamknięcia ujawnia, które zadania można było wykonać lepiej oraz jakie elementy wymagają jeszcze dopracowania.

 

 

 

Źródło: Fundacja Wiedza To Bezpieczeństwo