Dostosowanie do wymogów RODO
Ustawodawca unijny, wprowadzając RODO nałożył na każdy podmiot przetwarzający dane w ramach swojej działalności obowiązek dokumentowania przetwarzania danych.
Państwa organizacja powina móc w łatwy sposób wykazać (rozliczyć się w razie kontroli), że przetwarza dane w sposób legalny (ma podstawę prawną, żeby je mieć, ale także przesyłać innym podmiotom), ograniczony do celu, w którym zostały zebrane (nie zbiera danych na zapas), nie dłużej niż jest to konieczne (w pewnym momencie dane należy usunąć), realizuje prawa osób (ma wypracowane rozwiązania m.in. dla usuwania, sprostowania czy ograniczenia przetwarzania danych).
Celem kolejnych opisanych kroków jest pomoc Spółce w wywiązaniu się z tych licznych obowiązków:
- rejestr czynności i kategorii czynności przetwarzania – wypełnienie obowiązku wynikającego z RODO – Spółka powinna dokumentować czynności przetwarzania jakie wykonuje zarówno jako administrator (rejestr czynności przetwarzania), jak i podmiot działający na zlecenie klientów (rejestr kategorii czynności przetwarzania).
- rejestr czynności przetwarzania zawiera:
- cele przetwarzania,
- opis kategorii osób oraz kategorii zbieranych danych,
- odbiorców danych (w tym ew. państw trzecich),
- planowane terminy usunięcia danych,
- ogólny opis zabezpieczeń.
- rejestr kategorii czynności przetwarzania zawiera:
- kategorie czynności przetwarzanych w imieniu administratora,
- ew. przekazanie do państw trzecich,
- ogólny opis zabezpieczeń.
- rejestr czynności przetwarzania zawiera:
- obowiązki informacyjne – RODO rozszerzyło zakres informacji jakie administrator powinien przekazać każdemu podmiotowi, którego dane są przetwarzane. W tym kroku opracujemy klauzule informacyjne dla:
- kandydatów do pracy,
- pracowników,
- zleceniobiorców,
- osób wchodzących na teren monitorowany,
- klientów,
- kontrahentów,
- osób odwiedzających strony internetowe.
- ocena możliwości wykonywania praw osób wspólnie z pracownikami wypracujemy instrukcję wykonywania praw osób opierając się na dotychczasowych doświadczeniach pracowników. Pomoże to na zgodne z prawem i standardami spółki wykonywanie licznych praw, jakie RODO przyznaje podmiotowi danych, a są nimi:
- prawo dostępu,
- sprostowanie,
- usunięcie,
- ograniczenie przetwarzania,
- sprzeciw,
- przenoszenie danych,
- cofnięcie zgody,
- wniesienie skargi do Prezesa Urzędu Ochrony Danych Osobowych.
- umowy powierzenia – dostosujemy umowy, których Spółka jest stroną (RODO rozszerzyło zakres postanowień umownych, jakie powinny się znaleźć w każdej umowie), a także zidentyfikujemy obszary, w których umowy powinny być zawarte (jeśli takie są). W tym kroku przygotujemy:
- ocenę zawartych umów powierzenia przetwarzania z kontrahentami – zagrożenia wiążące się z zwartymi umowami, a także propozycje zmian,
- wzór umowy powierzenia do wykorzystania w dalszej działalności Spółki.
- ocena konieczności powołania Inspektora Ochrony Danych – RODO wprowadziło dla niektórych podmiotów obowiązek wyznaczenia IOD. Zbadamy, czy Spółka jest zobowiązana do jego powołania, jeśli nie to nasze wnioski w tym zakresie przedstawimy w formie opinii, którą Spółka zarchiwizuje na potrzeby kontroli, w ramach realizacji zasady rozliczalności. Jeśli wprowadzenie IOD okaże się konieczne oferujemy również usługi w pełnieniu tej funkcji w ramach outsourcingu.
- procedura zgłaszania naruszenia ochrony danych – RODO ustanowiło dla każdego administratora nakaz zgłoszenia naruszenia w terminie 72 h od stwierdzenia naruszenia. To oznacza, że zarząd spółki powinien w tym terminie poinformować Prezesa Urzędu Ochrony Danych Osobowych o tym, że do takiego naruszenia doszło. Brak wykonania tego obowiązku wiąże się z możliwością nałożenia kar. W ramach naszej oferty przygotujemy procedurę zgłaszania naruszenia, biorąc pod uwagę organizację Spółki i jej strukturę, w taki sposób aby zgłoszenie naruszenia, jeśli do niego dojdzie, nastąpiło na tyle szybko, by możliwe było zgłoszenie w ciągu 72 h.
- polityka ochrony danych osobowych – mówiąc wprost stworzymy dla Państwa organizacji instrukcję postępowania z danymi osobowymi od zebrania do ich usunięcia,
Korzyści
Efektem dostosowania do RODO będzie komplet dokumentacji opisującej procesy przetwarzania, ale także sposoby ochrony danych osobowych. Jest to absolutnie minimalny wymóg RODO konieczny do spełnienia przez każdą organizację.
Nie samą dokumentacją organizacja żyje. Państwa Zespół powinien być gotowy do działania w ramach zdefiowanych dla Państwa organizacji procedur. Codziennie. Każdego dnia.
Państwa organizacja będzie gotowa do codziennych kontaktów z osobami, których dane dotyczą, a także kontaktów z Urzędem Ochrony Danych Osobowych.
Następne kroki
Zapoznamy personel poszczególnych działów z praktyką przestrzegania RODO na co dzień, poszukamy praktycznych rozwiązań.
Przejmiemy odpowiedzialną funkcję Inspektora Ochrony Danych. Albo wesprzemy osobę ją pełniącą.
Życie jest bogatsze, niż teoria. Proponujemy opiniowanie podpisywanych umów, planowanych i realizowanych projektów.
Aktualności
- Pracownicze Plany Kapitałowe, a ochrona danych osobowych 18 września 2019
- Relacja – śRODOwe śniadanie 6 marca 2019: marketing, sprzedaż, telemarketing, analiza ryzyka 11 marca 2019
- Relacja – śRODOwe śniadanie 20 lutego 2019: rola IOD, usługi medyczne, leasing, podróże służbowe 4 marca 2019
- Relacja – śRODOwe śniadanie 6 lutego 2019: analiza ryzyka, rekrutacja, Facebook, biometria 6 lutego 2019
- Relacja – śRODOwe śniadanie 23 stycznia 2019: ADO, procesor, upoważnienia, obowiązek informacyjny, rekrutacja, wizerunek 24 stycznia 2019
