Oferta
RODO
I. Wstęp
RODO (tzw. rozporządzenie ogólne o ochronie danych osobowych) stanowi akt prawny uchwalony na szczeblu Unii Europejskiej w 2016 r., który od 25 maja 2018 r.będzie bezpośrednio obowiązywał we wszystkich państwach członkowskich (taka sama ochrona w Niemczech i w Polsce). Oznacza to, że w Polsce nie trzeba uchwalać żadnych dodatkowych przepisów.
II. Przedmiot ochrony
Przepisy chronią przetwarzanie danych osobowych przez każdy podmiot (osobę fizyczną, prawną, jednostkę organizacyjną) z wyłączeniem przetwarzania przez osobę fizyczną do celów wyłącznie osobistych lub domowych (czyli nie podlega pod przepisy m.in. zapisywanie na komputerze listy gości urodzinowych, spis kontaktów w telefonie prywatnym). Dane osobowe to wszelkie informacje o zidentyfikowanej (imię, nazwisko, telefon, adres itd.) lub możliwej do zidentyfikowania osobie fizycznej (adres IP, adres MAC komputera, login do oprogramowania, nr rachunku bankowego, historia zatrudnienia, przynależność do danego stowarzyszenia itd.). Z kolei przetwarzanie to każda operacja na danych osobowych, jak pobieranie, wgląd, modyfikowanie danych, łączenie danych, udostępnianie danych, usuwanie.
III. Główne założenia RODO
Ochrona danych osobowych obowiązuje w Polsce już od 1998 r., czyli od kiedy obowiązuje ustawa o ochronie danych osobowych. Przepisy ww. ustawy wraz z aktami wykonawczymi do niej tworzą zbiór formalnych obowiązków, który tworzy pewną zamkniętą listę (checklist) do „odhaczania”. Innymi słowy, obecnie nieważne czy jest się szpitalem czy sklepem internetowym to trzeba wypełnić te same wymogi narzucone przez ustawodawcę, takie jak: prowadzenie polityki haseł (zmiana hasła co 60 dni, minimum 12 znaków itd.), wprowadzenie polityki bezpieczeństwa zawierającej określone z góry elementy (wykaz zbiorów danych, lista budynków i pomieszczeń, gdzie przetwarza się dane osobowe itd.).
Takie podejście okazało się zbyt formalistyczne i „suche” – większość podmiotów pościągała wzory dokumentów i na tym się skończyło.
RODO zrywa z takim podejściem i w zasadzie wywraca wszystko do góry nogami. Teraz nie będzie już „checklisty” takiej samej dla wszystkich przedsiębiorców, ani wzorów dokumentów, które wszyscy będą mieć takie same. RODO opiera się na założeniu neutralności środków i technologii (tzn. nie mówi co konkretnie trzeba zrobić), w zamian za to wprowadzając liczne zasady, które należy bezwzględnie przestrzegać podczas przetwarzania danych osobowych, a nadto ustanawiając za najważniejszą ZASADĘ ROZLICZALNOŚCI. Od 25 maja 2018 r. każdy administrator będzie w pełni i samodzielnie odpowiedzialny za przestrzeganie zasad wskazanych w RODO i będzie musiał wykazać ich przestrzeganie. W praktyce oznacza to, że przy kontroli organu nadzorczego to administrator będzie tym aktywnym podmiotem, który będzie musiał wszystko udowodnić (a nie czekać aż organ nadzoru znajdzie coś w trakcie kontroli – czyli typowe przerzucenie ciężaru dowodu na administratora danych osobowych).
Nowe podejście oznacza również indywidualizację środków i technologii, które należy wdroży u administratora, żeby wykazać zgodność z RODO. To jest zaleta i wada RODO. Bo z jednej strony oznacza to, że mały sklep internetowy nie będzie musiał wprowadzać dokumentacji i środków bezpieczeństwa takich samych jak np. w firmie budowlanej, a firma budowlana będzie mogła ustalić swój indywidualny poziom bezpieczeństwa na niższym poziomie niż szpital czy urząd miasta. Z drugiej strony oznacza to, że każdy administrator musi się zastanowić jak wypełnić zasadę ADEKWATNOŚCI ŚRODKÓW BEZPIECZEŃSTWA w swojej jednostce i sam będzie odpowiedzialny za to czy przypadkiem nie zrobił czegoś za mało.
IV. Główne obowiązki nałożone w RODO
Nowe podejście w RODO związane jest również z nowymi obowiązkami, jakie spadną na każdego administratora. Ponieważ idea RODO wiąże się z samodzielnością i indywidualnością każdego administratora to podstawowym obowiązkiem jest przeprowadzenie analizy ryzyka (w dowolnej postaci, RODO nie ma tu żadnych wymagań formalnych). Obowiązek ten związany jest bezpośrednio z przesłaniem, jakie płynie z postanowień RODO, a które ja określam na szkoleniach następującą frazą: „pomyśl i zobacz gdzie w twojej działalności są dane osobowe i jak je chronisz; dzięki temu zobaczysz co możesz zrobić, by zapewnić im realną i wysoką ochronę”.
Poza powyższym obowiązkiem, który nie ominie żadnego administratora danych osobowych, są jeszcze inne, w tym:
- obowiązek prowadzenia rejestru czynności przetwarzania (sformalizowany nowy obowiązek)
- obowiązek zgłaszania incydentów do GIODO w terminie 72 godzin (trzeba przygotować infrastrukturę w jednostce by móc wypełnić ten obowiązek)
- rozbudowany obowiązek informacyjny (trzeba będzie poinformować osoby fizyczne, których dane są w posiadaniu administratora o wszystkich aspektach przetwarzania ich danych, w tym o ich nowych prawach)
- obowiązek realizowania nowych praw osób fizycznych, w tym prawa do przenoszenia danych osobowych oraz prawa do bycia zapomnianym (żądanie usunięcia wszystkich danych osobowych konkretnej osoby).
V. Oferta
W związku z powyższym, co możemy zaoferować?
1. Szkolenie personelu w zakresie ochrony danych osobowych, które może być również połączone ze szkoleniem dotyczącym korzystania z ich oprogramowania. Wówczas zaprasza się kierowników komórek oraz osoby, które będą przetwarzały danych osobowe w jednostce i prowadzi im się szkolenie
2. Przygotowanie dokumentacji dotyczącej oprogramowania. Czyli rejestr czynności przetwarzania, procedury zgłaszania i ewidencjonowania incydentów dotyczących oprogramowania, procedury udostępniania danych osobowych i regulamin korzystania z oprogramowania pod kątem ochrony danych osobowych.
3. Dostawę oprogramowania (baza Lotus Notes) wspomagającej wdrożenie jak i pracę RODO. Baza zawiera między innymi:
- Ewidencję pracowników z oznaczeniem osób zajmujących się przetwarzaniem danych
- Automatyczne generowanie dokumentów szkoleń i upoważnień (do poszczególnych zbiorów danych)
- Rejestr zbiorów danych (inwentaryzacja zbiorów wraz z informacją o zabezpieczeniach)
- Rejestr ryzyk
- Rejestr incydentów
- Rejestr audytów zabezpieczeń
- Rejestry innej dokumentacji związanej z rodo (np. procedury, regulaminy)
4. Przeprowadzenie analizy ryzyka i wdrożenie RODO. Pełna opcja zawierająca pkt 1-3. W ramach tego wchodzi:
- zapoznanie kadry zarządzającej z wymaganiami RODO oraz zakresem planowanych działań, którego efektem będzie wyznaczenie przez podmiot zespołu pracowników wraz z osobą koordynującą,
- inwentaryzacja procesów przetwarzania danych osobowych w podmiocie, w oparciu o arkusz inwentaryzacyjny przedstawiony przez nas (może być w formie bazy danych Lotus Notes), który zostanie wypełniony przez wszystkie komórki organizacyjne (pracowników) podmiotu pod naszym nadzorem. Zwykle przeprowadzamy na początek krótkie szkolenie dla pracowników wyjaśniające zawartość arkusza, tak aby pracownikom było łatwiej go wypełnić.
- audyt zabezpieczeń, służy weryfikacji obszarów zabezpieczeń fizycznych, technicznych i organizacyjnych danych osobowych oraz infrastruktury służącej do przetwarzania danych osobowych w podmiocie,
- analiza ryzyka dla procesów przetwarzania w podmiocie (tu realizujemy pierwszy i najważniejszy obowiązek wynikający z RODO). Co do zabezpieczeń związanych z systemem IT analizę robimy przy wsparciu informatyka
- wdrożenie RODO w jednostce (przygotowanie m.in. indywidualnej polityki bezpieczeństwa przetwarzania danych osobowych, przygotowanie rejestru czynności przetwarzania, rejestru incydentów, pisemnych upoważnień oraz ewidencji upoważnień, w tym w systemie teleinformatycznym, projektu dokumentów stanowiących wykonanie obowiązków informacyjnych, przygotowanie umów powierzenia danych osobowych, aneksów do istniejących umów dotyczących danych osobowych itd.)
- szkolenie pracowników jednostki po wdrożeniu RODO, w tym uświadomienie wprowadzonych zasad, procedur i dokumentów w jednostce.
Szkolenia, opracowania merytoryczne jak i nadzór nad wdrożeniem prowadzą radcowie prawni, prawnicy i pełnomocnicy zawodowi specjalizujący od wielu lat się w tematyce związanej z RODO. Ze strony IT (bazy danych, zabezpieczenia) zapewniamy doświadczoną kadrę informatyczną.