fbpx
 

Poniedziałek - Piątek (08:00 - 17:00)

Audyt i wdrożenie RODO, kiedy i jak je przeprowadzić?

Co to jest RODO?

RODO jest ogólnym rozporządzeniem o ochronie danych osobowych. Zawiera przepisy o ochronie osób fizycznych, w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Kiedy powstało RODO?

Przepisy zostały przygotowane przez Parlament Europejski i Radę UE w kwietniu 2016 roku, a weszły w życie dnia 25 maja 2018 roku.

W jakim celu wprowadzono RODO?

Celem  unijnego rozporządzenia RODO jest doprowadzenie do całkowitego ujednolicenia prawa w ramach UE i swobodnego przepływu danych osobowych. W praktyce ma to pozwolić obywatelom na lepszą kontrolę ich danych osobowych, a tym samym zmodernizować biurokrację w firmach, korzystając ze zwiększonego zaufania klientów.

Wytyczne RODO

Rozporządzenie o Ochronie Danych Osobowych wprowadza:

  • łatwiejszy dostęp do danych (zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób),
  • nowe prawo do przenoszenia danych (ułatwia przesyłanie danych osobowych pomiędzy dostawcami usług),
  • jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego nadane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),
  • technologie takie jak pseudonimizacja oraz
https://doradcy365.pl/wp-content/uploads/2019/04/blog-post-23.jpg

Jak wygląda audyt RODO?

Audyt zgodności z RODO jest pierwszym krokiem w procesie dostosowania działalności do przepisów wynikających z rozporządzenia o ochronie danych osobowych.

Taki audyt powinien zostać przeprowadzony zarówno przed wdrożeniem przepisów RODO, jak i w trakcie.

Administrator danych osobowych może przeprowadzić audyt samodzielnie, we własnym zakresie albo może zlecić jego dokonanie wyspecjalizowanej firmie. Niezależnie od wybranej metody, audyt powinien zakończyć się sporządzeniem raportu.

Podstawowym celem audytu jest ocena ewentualnego ryzyka pod kątem naruszenia zasad ochrony danych osobowych. Badanie zgodności ma na celu ustalenie przede wszystkim:

  • czynności, w ramach których przedsiębiorca przetwarza dane osobowe (np. zatrudnianie pracowników, obsługa klientów, zawieranie określonych rodzajów umów itp.);
  • specyfiki czynności przetwarzania danych;
  • rodzajów danych osobowych, jakimi dysponuje przedsiębiorca (w tym przede wszystkim zbadanie, czy przedsiębiorca przetwarza również dane szczególnie wrażliwe, jak na przykład dane biometryczne);
  • wdrożonych przez przedsiębiorcę uprzednio metod ochrony danych osobowych;
  • uchybień w stosowanych procedurach;
  • ewentualnych zagrożeń związanych z procedurami przetwarzania danych;
  • zaleceń i rekomendacji wdrożeniowych w celu zapewnienia przetwarzanym danym osobowym pełnej ochrony.

W ramach prowadzonego audytu można wyróżnić trzy podstawowe fazy:

  • Zbieranie informacji o danych osobowych przetwarzanych przez przedsiębiorcę, czynnościach przetwarzania i stosowanych środkach ochrony;
  • Analizę zebranych informacji;
  • Opracowanie zaleceń i rekomendacji wdrożeniowych.

Przeprowadzając audyt zgodności z RODO, administrator danych osobowych powinien zwrócić w szczególności uwagę na następujące okoliczności:

  • czy zakres przetwarzanych przez administratora danych osobowych ma charakter minimalny (tj. czy przedsiębiorca nie pozyskuje danych osobowych w zakresie szerszym niż konieczny do wykonania przez niego swoich obowiązków – np. pozyskiwanie numeru PESEL w celu wykonania usługi wysyłki towaru);
  • w jaki sposób przedsiębiorca spełnia obowiązki informacyjne względem osób, których dane przetwarza;
  • jakimi danymi osobowymi dysponuje przedsiębiorca i czy znajdują się wśród nich dane wymagające wprowadzenia szczególnej ochrony;
  • czy treść klauzul i zgód stosowanych przez przedsiębiorcę odpowiada przepisom RODO;
  • czy przedsiębiorca ma obowiązek wyznaczenia inspektora ochrony danych osobowych;
  • czy przedsiębiorca ma obowiązek prowadzenia rejestru czynności przetwarzania danych;
  • prawidłowość i rzetelność stosowanych przez przedsiębiorcę dokumentów (np. regulaminy udostępniane klientom czy dokumenty polityki bezpieczeństwa);
  • zasady dostępu pracowników przedsiębiorcy do przetwarzanych i przechowywanych przez przedsiębiorcę danych osobowych;
  • wdrożone przez przedsiębiorcę środki ochrony (np. anonimizację czy pseudonimizację danych);
  • ocenę poziomu stosowanych zabezpieczeń.

Jak przeprowadzić wdrożenie RODO w firmie?

KROK 1: Audyt bezpieczeństwa przetwarzania danych osobowych.

Należy przeprowadzić diagnozę pod kątem niezgodności z przepisami RODO. Dobrze wykonany audyt wykryje faktyczne braki w systemie i pozwoli prawidłowo wdrożyć RODO.

KROK 2: Analiza ryzyka.

Jest podstawą zabezpieczenia danych osobowych. Analiza ryzyka pozwala wdrożyć odpowiednie środki organizacyjne i techniczne.

RODO nie określa środków bezpieczeństwa. To do administratora należy decyzja, jakie środki będą odpowiednie.

https://doradcy365.pl/wp-content/uploads/2019/04/blog-post-17.jpg

KROK 3: Dokumentacja.

Przykładowe dokumenty RODO, jakie należy sporządzić to:

  • Polityka ochrony danych osobowych (zbiór wszystkich procedur RODO);
  • Zasady retencji danych ( w jaki sposób i kiedy usuwamy dane);
  • Zasady privacy by design i privacy by default (w  jaki sposób zapewnić odpowiedni poziom bezpieczeństwa przy projektach IT)
  • Struktura organizacyjna w zakresie ochrony danych osobowych (Kto i za co odpowiada)
  • Ewidencja upoważnień (Kontrola liczby osób upoważnionych);
  • Ocena skutków dla ochrony danych osobowych (Kiedy i w jaki sposób oceniane są te skutki);
  • Procedura nadawania upoważnień (W jaki sposób i komu nadawane są upoważnienia);
  • Procedura szkoleń (w  jaki sposób szkolony jest personel);
  • Postępowanie z incydentami ochrony danych osobowych (Kto i w jaki sposób reaguje na incydenty);
  • Rejestr czynności przetwarzania (opis procesów przetwarzania);
  • Rejestr kategorii czynności przetwarzania (zapis wszystkich informacji w zakresie danych, jakie zostały powierzone).

Chcesz wdrożyć RODO? Pomożemy Ci. Zbierzemy potrzebne informacje, sporządzimy dokumenty, przeprowadzimy konsultacje.

Kary za naruszenie RODO

Rozporządzenie przewiduje karę nawet do 20 mln euro. Nie jest to co prawda kwota, która będzie brana pod uwagę przy małych przedsiębiorstwach, ale pokazuje to jak poważnie traktowana jest kwestia danych osobowych.

Kary nakładane są w drodze administracyjnej przez  Prezesa UODO. Przewidywane są dwie kategorie kar finansowych:

  • kara administracyjna w wysokości  do 10 lub 20 mln euro;
  • 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa.

Decyzja co do wysokości kary zależy od:

  • charakteru czynu, jego wagi i czasu trwania naruszenia;
  • działań podjętych w celu zminimalizowania szkody;
  • stopnia odpowiedzialności administratora danych;
  • zachowaniu po naruszeniu zasad ochrony;
  •  innych czynników.

Oprócz kar finansowych, naruszenie RODO może skutkować również odpowiedzialnością karną.

W zależności od popełnionego czynu, przepisy RODO przewidują: karę grzywny, ograniczenie wolności lub pozbawienie wolności.

Odpowiedzialność karną za niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych ponoszą zawsze osoby fizyczne, którym można przypisać to działanie. Zatem kara pozbawienia wolności nie może zostać orzeczona wobec administratora, ale wobec pracownika, który dopuścił się naruszenia zasad RODO.

Działamy na terenie całej Polski. Zapraszamy do współpracy. Wybierając Doradców365 skorzystasz z profesjonalnej obsługi doświadczonych specjalistów.

ZOSTAW DANE KONTAKTOWE

Nasi doradcy wkrótce do Ciebie się odezwą

https://doradcy365.pl/wp-content/uploads/2021/02/smiling-woman-headset-presentation-something-min-scaled.jpg

Nasi Klienci
Zaufali nam

logo lasy państwowe
logo uni przyr wroc
ford
logo warszawa
inferm
logo miasto otwock
logo rmf
logo business mind
logo białystok
bez tytułu
logo bytom
gmina grodzisk
sksm
logo dp
logo kopalnia muzeum nowa ruda
logo szpital tarnów
safedent
logo trzebińskie centrum kultury
logo chełmek
mind
logo uni rol krak
logo medical inventi
logo eisa
logo cpbii
logo lp piła
logo powiat strzeliński
logo czysta polska
logo polska wywiadownia gospodarcza
logo bak żywności
logo gfi
logo grupa image
logo epal
logo aet
fitbit
croma
logo rosik
acana
mapa-zdrowia
spectrum
hanse
datart
Bez tytułu (1)
b3tech
logo setka
nerli
wes
ws
polkowicki
pcg
komfort
logo brs
logo nask
logo vorwerck
logo spectrum
logo soning stal
logo philipiak
logo pinus
logo ilc
logo cejs
logo fatro
logo tomgraf
logo zdrojowa hotels
logo marada autotransport
logo desmi
logo EnMS
zo-lesnica
jastech
fallwork
olwita
Właścicielem marki DORADCY365
jest CERES HOLDING Sp. z o.o.
ul. Leszczyńskiego 4/29
50-078 Wrocław

Obsługujemy Klientów z całej Polski
Jesteśmy po toaby odciążyć Cię od biurokratycznych procedur
Bądż na bieżąco Zapisz się do naszego newslettera

Copyright DORADCY365.