Jeszcze tylko do 24 maja dane osobowe chronimy według obecnie obowiązujących zasad. Kontrole nadal wykazują uchybienia w tym zakresie, choć przepisy dawno temu powinny być „przepracowane” i prawidłowo zaimplementowane. Czy spełniamy te minimalne warunki:
- Posiadanie dokumentu „Polityka ochrony danych osobowych”.
- Posiadanie dokumentu” Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych”.
- Upoważnienia dla każdej osoby przetwarzającej dane osobowe.
- Prowadzenie ewidencji upoważnień dla osób przetwarzających dane
osobowe.
- Przetwarzanie danych osobowych tylko i wyłącznie pod warunkiem spełnienia
jednego z warunków opisanych w art. 23 Ustawy o ochronie danych
osobowych.
- Przetwarzanie danych osobowych tylko i wyłącznie adekwatnie do celu ich przetwarzania i w czasie zgodnym z tym celem.
- Spełnienie obowiązku informacyjnego wobec właścicieli danych osobowych.
- Zapewnienie spełnienia (także w zakresie technicznym) wszystkich wymagań
wobec właścicieli danych osobowych.
- Zabezpieczenie techniczno-organizacyjne zgodne z przepisami prawa i
adekwatne do występujących zagrożeń oraz rodzaju danych osobowych.
- Udostępnianie danych osobowych zgodnie w przepisami prawa.
- Powierzenie danych osobowych w oparciu o pisemne umowy.
- Rejestracja jawnych zbiorów danych osobowych w GIODO, o ile istnieją takie
zbiory i nie powołano ABI lub zbirów z art. 27 Ustawy nawet jeśli powołano
ABI.
- Sprawowanie nadzoru nad ochroną danych osobowych.
10 KROKÓW WDROŻENIA RODO
Od 25 maja 2018 r. w życie wejdą nowe, o wiele bardziej wymagające przepisy. Ich naruszenie skutkować będzie bardzo dotkliwymi karami, a prowadzone kontrole wykazują, że większość polskich firm nie jest jeszcze gotowa na RODO. Czasu nie pozostało zbyt wiele, a wystarczy zrobić 10 kroków:
- Uświadomić najwyższe kierownictwo i pracowników o powadze problemu oraz powołać zespół wdrożeniowy.
- Przeprowadzić inwentaryzację procesów/obszarów przetwarzania danych osobowych
i sporządzić wykaz czynności przetwarzania tych danych – dokument wykazu czynności dla organizacji powyżej 250 pracowników jest obowiązkowy.
- Przeprowadzić audyt stanu obecnego vs wymagania RODO.
- Sporządzić listę czynności do wykonania – zależy od tego, co mamy obecnie.
- Dokonać oceny ryzyka ochrony danych osobowych i oceny skutków dla danych osobowych.
- Zastosować zabezpieczenia techniczno-organizacyjne odpowiednio do wyników ww. oceny, w tym dostosować bezpieczeństwo IT, zasady archiwizacji danych osobowych i kopii baz danych IT.
- Przeprowadzić analizę systemów informatycznych pod wymagania RODO – zmiany u producentów oprogramowania.
- Przygotować klauzule zgód i klauzule informacyjne i wdrożyć je.
- Przygotować procedury i polityki oraz umowy powierzenia danych osobowych, w tym procedurę i rejestr zgłaszania naruszeń.
- Powołać inspektora ochrony danych i jego zespołu dla firm i organizacji, które zostały powołane w tym zakresie w RODO.
- Przeszkolić pracowników.