Czy jesteś dobrze przygotowany do przetwarzania danych osobowych?

Ściąga przedsiębiorcy

Aby prawidłowo wdrożyć przepisy RODO w swoim przedsiębiorstwie musisz pamiętać o wielu elementach. Poniżej przedstawię Ci, jak możesz w 14 krokach właściwie przygotować się do wprowadzenia obowiązujących przepisów związanych z ochroną danych osobowych.

  1. Oceń ryzyko naruszania przetwarzania danych osobowych.

Oceń ilość przetwarzanych danych osobowych a nie liczbę osób przetwarzających dane czy zatrudnionych pracowników w Twoim przedsiębiorstwie. Potencjalne ryzyko naruszenia integralności bazy posiadanych danych jest większe w przypadku prowadzenia portalu czy sprzedaży internetowej przez osobę fizyczną, niż w przypadku podmiotu świadczącego usługi na rzecz kilkunastu stałych klientów (np. biura księgowe).

  1. Sprawdź, czy w Twoim przedsiębiorstwie istnieje polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym.

Polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym to dwa najważniejsze dokumenty, które muszą znaleźć się w każdej firmie. Polityka bezpieczeństwa przedstawia cały proces obrotu posiadanymi danymi – od momentu wyrażenia zgody konkretnej osoby na ich przetwarzanie, samo przetwarzanie aż do ich usuwania w systemie.

  1. Sprawdź, czy w posiadanych przez Twoje przedsiębiorstwo danych nie ma danych, których zbieranie i przetwarzanie jest zabronione przez RODO.

RODO zabrania przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. Zabronione jest przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

  1. Przeanalizuj treść zgód o przetwarzaniu danych, które do tej pory były Ci udzielane przez zainteresowane osoby.

RODO wymaga, by komunikat o przetwarzaniu danych był sformułowany w sposób jak najbardziej prosty i zrozumiały dla odbiorcy. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności wyrażającej odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego, ustnego lub elektronicznego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru (tzw. checkbox) w czasie przeglądania strony internetowej. Innym sposobem wyrażenia zgody jest także wybór ustawień technicznych do korzystania z usług społeczeństwa informacyjnego. Wyrazić zgodę można też na innym oświadczeniu bądź zachowaniu, które w danej sytuacji jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych. „Milczenie” okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody.

  1. Przeanalizuj posiadane już przez Ciebie zgody.

Wyślij do tych osób, których zgody na przetwarzanie już posiadasz, wyraźną informację, że ta osoba może w każdej chwili cofnąć zgodę na przetwarzanie. Poinformuj również, że ma prawo do „bycia zapomnianym”.

  1. Opracuj procedurę powiadamiania osób, których dane posiadasz lub będziesz przetwarzać o sprostowaniu, poprawianiu lub usuwaniu ich danych osobowych.

W każdym czasie osoba, której dane posiadasz, ma prawo do sprostowania danych (gdy w danych był błąd) lub ich poprawienia (zmiana nazwiska). Niezbędnym elementem takiej procedury jest określenie, co oznacza „niemożność” dostarczenia takiej informacji do adresata.

  1. Sprawdź, czy posiadany przez Ciebie system komputerowy jest odpowiednio zabezpieczony.

Jeśli dotychczas zdarzało się naruszenie integralności posiadanych danych, to dla własnego bezpieczeństwa zaopatrz się w lepsze zabezpieczenia. Zainwestuj w program szyfrujący dane. Powinieneś także uczulić pracowników na konieczność częstej zmiany haseł do komputerów.

  1. Sprawdź fizyczne zabezpieczenia pomieszczeń, w których przetwarzane są dane.

Być może należy ograniczyć dostęp do takiego pomieszczenia, wprowadzić ewidencję osób wchodzących lub wychodzących z niego, lub zainstalować monitoring pomieszczenia.

  1. Sporządź listę osób upoważnionych do przetwarzania danych, a w razie konieczności zaktualizuj ją.

  2. Sprawdź, czy masz aktualną umowę na przetwarzanie danych przez podmiot zewnętrzny, jeśli takie przetwarzanie powierzyłeś innemu podmiotowi.

  3. Stwórz rejestr czynności przetwarzania.

W takim rejestrze powinieneś zamieścić wszystkie następujące informacje:

  • Imię i nazwisko, nazwę oraz dane kontaktowe administratora oraz współadministratorów, a jeśli ma to zastosowanie przedstawiciela administratora i inspektora danych;
  • Cele przetwarzania;
  • Opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
  • Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • Informację o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
  • Planowane terminy usunięcia poszczególnych kategorii danych;
  • Jeżeli jest to możliwe, ogólny opis techniczny i organizacyjny środków bezpieczeństwa.
  1. Stwórz rejestr naruszeń.

Rejestr naruszeń powinien opisywać charakter naruszenia ochrony danych osobowych.  Rejestr powinien wskazywać kategorie i przybliżoną liczbę osób, których przetwarzane dane dotyczą oraz określać kategorie i przybliżoną liczbę wpisów danych, których dotyczy naruszenie. W rejestrze nie umieszcza się nazwiska osoby, która naruszyła integralność. Jeśli to pracownik naruszył przetwarzanie danych, wówczas informacje o jego przewinieniu powinno się umieścić w aktach osobowych.

Musisz pamiętać, że na przekazanie raportu o naruszeniu danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych masz tylko 72 godziny.

  1. Sporządź procedurę udostępniania danych.

Udostępnianie danych osobowych nawet w ramach obowiązku określonego obowiązującym prawem nie oznacza przekazania wszystkich danych, a jedynie tych niezbędnych.

  1. Jeśli masz dużą liczbę danych osobowych w posiadanej przez Twoją firmę bazie zastanów się, czy nie powołać inspektora ochrony danych.

Inspektor Danych Osobowych należy powołać zawsze, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • Twoja główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • Twoja działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.
  1. Zapoznaj pracowników z poprawioną (zmodyfikowaną) polityką bezpieczeństwa.

Ustal, czy Twoi pracownicy zrozumieli swoje obowiązki i uprawnienia w zakresie przetwarzania danych. W razie konieczności zorganizuj swoim pracownikom szkolenia z właściwego przetwarzania danych osobowych.

  1. Opracuj treść oświadczenia pracownika o zapoznaniu się z zasadami ochrony danych osobowych w przedsiębiorstwie.

Dopilnuj, aby na każdym oświadczeniu w Twoim przedsiębiorstwie znajdował się podpis.

Jeśli nie wiesz, czy Twoja firma jest przygotowana na prawidłowe przetwarzanie danych osobowych skorzystaj z rozwiązania, jakie dla Ciebie przygotowałam.

Podstawa prawna:

art. 9, art. 30, art. 33, art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. UE. L z 2016, nr 119, s. 1.

Obserwuj nas i polub nas!

3 thoughts on “Czy jesteś dobrze przygotowany do przetwarzania danych osobowych?”

  1. Bardzo wyczerpujący artykuł! Właśnie czegoś takiego szukałam. Czy można gdzieś znaleźć gotowe formułki RODO, które można umieścić na stronie?

  2. Jest tego dosyc sporo, musze jeszcze raz wszystko przeanalizowac. Ja akurat prowadze blog z newsletterem i tam mam zarowno okienko zgody na przetwarzanie danych osobowych i regulamin prywatnosci.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *