Jak w 5 krokach wdrożyć RODO w firmie? 2019r. - aktualizacja
Jeśli zastanawiasz się jak wdrożyć RODO samodzielnie, to pierwsze co powineneś zrobić, to plan wdrożenia.
Podzielę się z Tobą planem wdrożenia, który stosuję wdrażając RODO u Klientów.
Na wdrożenie RODO w firmie składają się:
KROK 1: AUDYT RODO
KROK 2: ANALIZA RYZYKA
KROK 3: DOKUMENTACJA RODO
KROK 4. KLAUZULA RODO
KROK 5: MONITOROWANIE RYZYKA
KROK 1 – AUDYT firmy
AUDYT to baza wszystkiego.
Po przeprowadzeniu audytu powinieneś wiedzieć:
- Czyje dane zbierasz?
- Jak je zbierasz?
- Komu je przekazujesz?
- Jak długo je przechowujesz? Kiedy je usuwasz?
- Jak je przechowujesz?
- Jak je zabezpieczasz?
Jeśli chcesz dowiedzieć się jak wykonać audyt RODO w firmie, zajrzyj do jednego z moich wpisów
https://kingakonopelko.pl/audyt-rodo/
i przeprowadź audyt z moim filmikiem instruktażowym i dodatkowymi materiałami PDF.
KROK 2 – ANALIZA ryzyka
ANALIZA RYZYKA NARUSZENIA DANYCH jest niezbędna, żeby prawidłowo chronić dane.
Jest to nowy obowiązek wynikający z RODO, który na pewno będzie weryfikowany podczas kontroli.
Jak przeprowadzić taką analizę? Zajrzyj do wpisu. https://kingakonopelko.pl/analiza-ryzyka/
KROK 3. DOKUMENTACJA RODO
Wszyscy zawsze pytają o dokumenty i mimo, że kluczowa w RODO jest faktyczna ochrona danych, dokumenty i wdrożone procedury też temu mają służyć. Są także jednym ze środków organizacyjnych w firmie.
Wprowadzenie procedur w firmie pomaga uporządkować sprawy związane z ochroną danych w firmie, ale też pomaga „pracować” z danymi właściwie.
RODO nie narzuca listy wymaganej dokumentacji, ale ... zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych (który ma prawo kontrolować firmy, pod kątem zgodności z RODO) w zależności od firmy powinny być przygotowane:
-
Polityka ochrony danych osobowych,
-
Instrukcja zarządzania systemem informatycznych,
-
Upoważnienie do przetwarzania danych osobowych i inne dokumenty pomocne przy ewidencji upoważnień,
-
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, o których mowa w art. 30 RODO – o ile dotyczy,
-
Procedura obsługi praw osób, których dane dotyczą;
-
Wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
-
Procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
-
Procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
-
Raport z przeprowadzonej, ogólnej analizy ryzyka;
-
Raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
-
Procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
-
Plan ciągłości działania – art. 32 ust 1 pkt b RODO;
-
Procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
Są to oczywiście dokumenty przykładowe, wskazane m.in. przez Urząd Ochrony Danych Osobowych. Każdorazowo należy ocenić, które dokumenty faktycznie będą przydatne w firmie i będą mogły wspomóc ochronę danych osobowych.
KROK 4. KLAUZULA RODO
Jeśli zbierasz dane osobowe, każda osoba, od której otrzymałeś dane powinna być poinformowana o tym, co z tymi danymi robisz. Najpóźniej przy przekazaniu danych, powinieneś udostępnić tym osobom tzw. klauzulę informacyjną, w której opiszesz szczegółowo zasady przetwarzania danych osobowych.
Jeśli tego nie robisz, stanowi to niestety bardzo poważne naruszenie. Za brak realizacji obowiązku informacyjnego zostały już nałożone kary przez Prezesa Urzędu Ochrony Danych Osobowych. [Pisałam o tym tutaj-
>>>>>>>
]
Jeśli chcesz dowiedzieć się więcej, zajrzyj do przygotowanego przeze mnie darmowego PDF “Obowiązek informacyjny – sprawdź czy go realizujesz” na stronie bloga
https://kingakonopelko.pl/klauzula-rodo/
KROK 5 – MONITOROWANIE
Należy dbać o ochronę danych przez cały czas. Na potwierdzenie tego, zalecane jest wykonywanie okresowych wewnętrznych kontroli/audytów czy ponownej analizy ryzyka, np. po roku od jej pierwszego wykonania
------------------------
Jeżeli nie chcesz wdrażać RODO samodzielnie lub jeśli chcesz sprawdzisz, czy wdrożyłeś RODO prawidłowo - skontaktuj się ze mną pisząc na adres: kancelaria@kingakonopelko.pl