RODO Nawigator

KIERUNEK 1

Więcej o RODO

KIERUNEK 1

Więcej o RODO

Rozporządzenie o Ochronie Danych Osobowych (w skrócie RODO) obowiązuje od 25 maja 2018 roku. Rozporządzenie określa, w jaki sposób powinny być przetwarzane dane osobowe w firmach i organizacjach na terenie Unii Europejskiej. Wyjaśnia też, co należy zrobić, gdy dane osobowe trafią w niepowołane ręcę, np. na skutek ataku hackerów.


Nie opieraj żadnych działań na fragmentarycznych, niesprawdzonych informacjach.

Aby przygotować się do spełniania wymogów RODO najpierw uporządkuj swoją wiedzę!

Pomoże Ci w tym Karolina Kraśniewska, Inspektor Ochrony Danych firmy DAGMA, auditor wiodący według normy ISO/IEC 27001:2014, prelegent i praktyk z doświadczeniem w stosowaniu prawa ochrony danych osobowych.

 

Z poniższych zagadnień wybierz te, które Cię interesują:

1. Rozszerzona formuła zgody

Dowiesz się: czym jest rozszerzona formuła zgody, jakie stawia wymagania oraz od czego zależy jej treść.

Rozszerzona formuła zgody oraz klauzula informacyjna zostały zmienione – formuły stały się dłuższe i powinny zawierać:

  • Dane kontaktowe ADO i Inspektora Ochrony Danych (pod warunkiem, że jest to podmiot zobligowany do posiadania IOD);
  • Cel przetwarzania danych;
  • Informacje o zamiarze przekazywania danych do państw trzecich;
  • Okres, przez który dane będą przechowywane;
  • Informacje o dostępie do danych, cofnięciu zgody, wniesieniu skargi;
  • Czy jest wymóg ustawowy/warunek zawarcia umowy;
  • Informacje o profilowaniu. Jeśli mamy wprowadzoną automatyzację, osoby, których dane są pobierany powinny o tym wiedzieć. Co więcej, każda osoba ma prawo sprzeciwić się profilowaniu;
  • Informacje o przetwarzaniu w innym celu;
  • Prawo do przenoszenia danych (przykład: Klient posiada konto w banku A. Okazuje się, że oferta banku B jest bardziej korzystna istnieje możliwość przeniesienia danych i bank może przekazać pewien zakres informacji. Zakres przenoszenia danych nie jest określony w RODO – są do dane zebrane na podstawie zgody bądź na podstawie zawarcia umowy. Pozostałe dane nie podlegają temu prawu. Dodatkowo, dane powinny być przekazywane w ustrukturyzowanym, maszynowym formacie. Formaty nie są wymienione w rozporządzeniu – format ma być tak dobrany, żeby był możliwy do odczytania na dowolnym urządzeniu.

2. Rejestr czynności przetwarzania

Dowiesz się: kto musi prowadzić rejestr czynności przetwarzania, czy istnieją jakieś wyjątki, co powinien zawierać, czy firma musi prowadzić rejestr zbiorów danych.

Od momentu wprowadzenia RODO w życie, zdjęty został obowiązek prowadzenia rejestru danych osobowych (dotyczy to zarówno danych zwykłych jak i danych sensytywnych). Został on jednak zastąpiony obowiązek prowadzenia rejestru czynności przetwarzania. Forma jego prowadzenia nie jest określona w ustawie.

Czy każdy musi prowadzić rejestr czynności przetwarzania? Zgodnie z RODO podmioty, które zatrudniają mniej niż 250 pracowników nie są zobligowane do prowadzenia rejestru. Od tego są jednak wyjątki: jeżeli przetwarzania nie ma charakteru sporadycznego, jeśli są przetwarzane dane sensytywne lub zakres przetwarzanych danych mógłby naruszyć prawa i wolność osób, których przetwarzanie danych dotyczy w przypadku powstania incydentu, wtedy rejestr musi być prowadzony.

Zawartość rejestru czynności przetwarzania określony jest w Artykule 30 Rozporządzenia o Ochronie Danych Osobowych. W praktyce, nie różni się ona znacząco od rejestru danych osobowych. Niezbędne jest przeprowadzenie klasyfikacji informacji – trzeba określić jakie dane przetwarzamy, czy przypadkiem nie przetwarzamy danych sensytywnych. W tym układzie, zbiory danych należy prowadzić wewnętrznie, uwzględniając informacje takie jak:

  • jaki zakres danych przetwarzamy,
  • w jakich celach przetwarzamy dane,
  • czy przekazujemy dane do podmiotów trzecich,
  • czy dane są przekazywane poza europejski obszar gospodarczy,
  • jakie środki techniczne i organizacyjne stosujemy (ogólny opis).

Rejestr czynności przetwarzania może być prowadzony w dowolny sposób. Trzeba mieć jednak na uwadze jedno z wymagań, jakie stawia RODO – rozliczalność. Prowadzenie rejestru w formie papierowej lub w arkuszu kalkulacyjnym nie zapewnia nam rozliczalności, gdyż nie wskazuje jaki operator wykonał zmianę. Dlatego najlepszą opcją jest skorzystanie z gotowych programów lub (jeśli firma posiada odpowiednie zaplecze) napisać własny, który te sprosta tym wymaganiom.


3. Podmiot przetwarzający

Dowiesz się: co należy wiedzieć, jeśli chcemy skorzystać z firmy zewnętrznej, która będzie obsługiwać naszą firmę w zakresie ochrony danych osobowych.

Podmiot przetwarzający, czyli tzw. procesor pojawiał się już w Ustawie o Ochronie Danych Osobowych czy w Dyrektywie Europejskiej. Rola i odpowiedzialność podmiotu przetwarzającego jest szczegółowo opisana w Rozporządzeniu o Ochronie Danych Osobowych, są to m.in.:

  • obowiązek prowadzenia wewnętrznego rejestru czynności,
  • obowiązek współpracy z organem nadzorczym,
  • obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych,
  • obowiązek wyznaczenia DPO (Data Protection Officer).

W przypadku jeśli firma nie posiada odpowiednich środków organizacyjnych lub technicznych, istnieje możliwość korzystania z usług podmiotu zewnętrznego, który się w tym specjalizuje. Mimo to, obowiązkiem IOD jest zweryfikowanie, czy ten podmiot jest w stanie te dane odpowiednio chronić. Należy również podpisać odpowiednie umowy: umowę powierzenia, czy klauzule umowne, które możemy stosować w przypadku transferowania danych poza europejski obszar gospodarczy.

Przy spisywaniu umowy powierzenia należy pamiętać o zdefiniowaniu konkretnego czasu, do kiedy podmiot przetwarzający jest zobligowany do poinformowania o fakcie powstania incydentu. Ustawa określa, że czas zgłoszenia incydentu wynosi 72 godziny. Oznacza to, że podmiot przetwarzający musi to zrobić wcześniej, żeby dać nam czas na reakcję.


4. Szczegółowa kategoria danych

Dowiesz się: jakie dane zaliczą się do szczególnej kategorii, o co został rozszerzony dotychczasowy katalog, czy monitoring w pracy jest zaliczany do szczegółowej kategorii danych.


5. Zgłaszanie incydentów

Dowiesz się: czy musisz donosić na samego siebie, ile masz czasu na zgłoszenie incydentu, co się stanie, jeśli nie dotrzymamy wyznaczonego czasu.


6. Podejście proaktywne

Dowiesz się: co to znaczy "Privacy by design" i "Privacy by default", czy każdy pracownik powinien podpisać upoważnienie związane z przetwarzaniem danych, w jaki sposób dobrać odpowiedni sprzęt i oprogramowanie.


7. Prawa osób, których dotyczy przetwarzanie danych

Dowiesz się: na czym polega profilowanie, czy każdy ma prawo do bycia zapomnianym, jakie informacje obejmuje prawo do bycia zapomnianym, jaki jest czas na reakcję w przypadku prośby o "zapomnienie", jaka jak dolna granica wieku, gdzie możliwe jest przetwarzanie danych osobowych.


8. Kary

Dowiesz się: od czego zależy wysokość kary, czy podmioty organów publicznych są inne niż te, dotyczące biznesu.


9. ABI - Administrator Bezpieczeństwa Informacji

Dowiesz się: czy powołanie Inspektora Ochrona Danych jest obowiązkowe, jak zmienią się stanowiska związane z ochroną danych, co to jest ocena skutków dla ochrony danych.


10. Zabezpieczenia techniczne

Dowiesz się: czy istnieje lista wymaganych środków technicznych, na jakiej zasadzie powinno się dobierać zabezpieczenia techniczne.

Teraz już wiesz, czym jest RODO i które luki w bezpieczeństwie firmy czas wyeliminować. Obierz kierunek nr 2sprawdzenie jak Twoja firma jest przygotowana do RODO.