9 informacji, które pomogą w przygotowaniu do RODO

Co wynika z RODO?

1. Do przetwarzania danych bezwarunkowo jest potrzebna zgoda osoby fizycznej. Zgoda ta musi być wyraźna, dobrowolna. Administrator musi za to udokumentować tą zgodę oraz musi przedstawić osobie fizycznej informację, że może odwołać swoją decyzję w każdym momencie.

2. Kolejną zmianą, która nadejdzie wraz z RODO jest brak obowiązku rejestrowania zbiorów danych do GIODO. Wzmocniony za to zostanie nacisk na zagwarantowanie rzeczywistej ochronę prawną danych osobowych na trzech poziomach:
a) Organizacji pracy – procedury
b) Systemów IT – funkcjonalność, bezpieczeństwo
c) Obowiązków informacyjnych

3. RODO jest bardziej przyjazne pod względem wymogów niżeli GIODO. Jedną z takich różnic jest to, że w GIODO jest obowiązek wdrażania polityki bezpieczeństwa oraz systemy zarządzania systemami IT, a w RODO administrator danych sam decyduję jaka polityka bezpieczeństwa jest odpowiednia dla zapewnienia pełnej ochrony danych. Każda organizacja we własnym zakresie powinna ocenić jak przeprowadzi analizę ryzyka przetwarzania danych osobowych.

Analiza powinna zawierać takie informacje jak :
a) Jakie dane są przetwarzane?
b) W jaki sposób?
c) Na jakie potrzeby?
d) Przez kogo?
e) Gdzie są przechowane i zapisane?
f) Komu i w jaki sposób udostępniane?
g) W jaki sposób jest zorganizowana ochrona danych w tej firmie?

Po określeniu tych wszystkich rzeczy administrator sam podejmuję decyzję jakich środków bezpieczeństwa użyje żeby poprawnie zabezpieczyć dane. Oczywiście środki podjęte przez administratora muszą być rozpatrzone na dwóch poziomach:
a) Technicznym - serwisy WWW , systemy, użytkowe narzędzia,
b) Organizacyjnym – obowiązujące w firmie procedury, sposoby dokumentacji zdarzeń, usprawnienia i kompetencje personelu, postanowienia w umowach.

Przygotowanie firmy do RODO zależy od oceny ryzyka.

4. Firma powinna zweryfikować, czy poziom i skala przetwarzanych danych wymaga, aby prowadziła ocenę skutków przetwarzania danych osobowych. Konieczność prowadzania takiej weryfikacji występuje, gdy istnieje duże prawdopodobieństwo, że proces przetwarzania danych stwarza realne ryzyko naruszenia praw i wolności osób fizycznych.

Określenie to jest nieostre przez co dla podmiotu ważna jest rzeczywista ocena zagrożenia, w jeżeli nie jest pewna co do swoich działań to powinna skonsultować się z organem nadzorczym.

5. Jeżeli dojdzie do naruszenia ochrony danych osobowych (tzw. incydentu) to RODO obowiązkowo wymaga zgłoszenia zaistnienia takiej sytuacji do organu nadzorczego oraz osób, których dotyczy to naruszenie w terminie do 72 godziny od zdiagnozowania zdarzenia.

6. W przypadku gdy w firmie zatrudnionych jest więcej niż 250 pracowników, pracodawca ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych.

7. Obowiązek powoływania Inspektora Danych Osobowych (IDO). Dotyczy trzech podmiotów tj.:

a) Podmiot publiczny (nie dotyczy sądów), oraz podmiotów wykonujące zadania publiczne
b) Podmioty, których praca polega na przetwarzaniu danych w sposób, który wymaga monitorowania osób, których dane dotyczą.
c) Podmioty zajmujące się przetwarzanie danych wrażliwych

8. Profilowanie jest czynnością przetwarzania. W związku z tym, wszystkie próby profilowania muszą być zaakceptowane przez osoby, których to dotyczy. Zgoda wyrażona jest w informacji, czego dotyczy profilowanie, w jakim celu jest przeprowadzane i w jakim okresie.

9. Obowiązek informacyjny podmiotu przetwarzającego. Podmiot, który przetwarza dane osób musi je poinformować o :
a) okresie przechowywania danych osobowych,
b) planowanym profilowaniu,
c) prawach przysługujących danej osobie( z możliwością wycofania zgody na przetwarzanie danych albo zgłoszenia skargi do organu nadzorczego).

Źródło: mojafirma.infor.pl/biznes/prawo/rodo-w-firmie/771151,Jak-przygotowac-sie-na-RODO.html