Chroń dane osobowe

Dowiedz się jak zgodnie z prawem chronić dane osobowe.

Ochrona danych osobowych zgodnie z RODO

Nowe przepisy regulujące kwestie ochrony danych osobowych (RODO) mają ogromny wpływ na działalność zarówno podmiotów sektora prywatnego jak i publicznego. Przygotowanie każdej organizacji wymaga dużo pracy, a nie rzadko również i środków finansowych na dostosowanie funkcjonujących zabezpieczeń do istniejących zagrożeń. 99 artykułów bezpośrednio obowiązujących przepisów prawa (RODO) wyjaśnianych przez 173 motywy to bardzo obszerny zakres regulacji. Dodatkowo 176 artykułów ustawy o ochronie danych osobowych oraz zmiany w 168 ustawach branżowych powodują, że duże korporacje gubią się w poszczególnych wymogach, a co dopiero małe i średnie podmioty. Warto zapewnić skuteczne wdrożenie RODO w twojej organizacji, by zwiększyć swoją konkurencyjność na rynku lub wiarygodność w podmiocie sektora publicznego. Dodatkowo RODO przewiduje m.in. możliwość certyfikacji twojej organizacji na zgodność z RODO, warto przygotować się do tego procesu już teraz.

Personal Data Protection System (PDPS)

Wdrożenie i utrzymanie systemu ochrony danych osobowych zgodnego z RODO nigdy nie było łatwiejsze. W ramach jednej, niskiej opłaty abonamentowej twoja organizacja otrzymuje potężne narzędzie, które jest nieustająco aktualizowane, rozwijane i doskonalone. Za pośrednictwem aplikacji szybko i sprawnie przeprowadzisz audyt zgodności z RODO, analizę ryzyka wobec zasobów, sporządzisz rejestr czynności przetwarzania, przeprowadzisz ocenę skutków przetwarzania i wykonasz wiele innych praktycznych czynności. Nie musisz obawiać się zagubienia w gąszczu przepisów, gdyż aplikacja uwzględnia wszystkie najnowsze wytyczne ERODO (Europejskiej Rady Ochrony Danych Osobowych) oraz Prezesa UODO (Urzędu Ochrony Danych Osobowych). Skorzystaj z wybranej usługi w zależności od potrzeb twojej organizacji i rozpocznij skuteczne zarządzanie systemem ochrony danych osobowych w twojej organizacji.

Baza wiedzy

Nie wiesz jakie działania podjąć w konkretnym przypadku. Nie wiesz czy usuwać CV kandydatów do pracy, czy nie. Nie jesteś pewien jak spełnić obowiązek informacyjny w ramach monitoringu wizyjnego. Na powyższe oraz wiele innych pytań znajdziesz odpowiedź w bazie wiedzy. W ramach wybranej usługi abonamentowej korzystaj z aktualizowanej na bieżąco bazy wiedzy o ochronie danych osobowych. Zagadnienia dostępne w bazie wiedzy są podzielone tematycznie w formie przepisów wraz z ich interpretacją, zagadnień technologicznych oraz praktycznych przykładów wdrożenia wymaganych mechanizmów ochrony danych osobowych lub zastosowanych zabezpieczeń. Nie daj się zaskoczyć dostawcom i kontrahentom skorzystaj z bazy wiedzy o ochronie danych osobowych.

Przepisy

Jak praktycznie dostosowywać procesy przetwarzania danych osobowych do wymogów nowych przepisów RODO ?

Zabezpieczenia

Jak zgodnie z nowymi przepisami zapewnić bezpieczeństwo danych osobowych w systemach informatycznych ?

Praktyka

Z jakich narzędzi skorzystać wdrażając nowe przepisy oraz jakie metody stosować by utrzymać stworzony system ?

O mnie

Konrad Gałaj-Emiliańczyk – prawnik, inspektor ochrony danych, audytor wiodący systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301. Trener z zakresu bezpieczeństwa informacji wg. ISO 27001, ISO 22301, RODO oraz cyberbezpieczeństwa.  Wykładowca Politechniki Białostockiej na Wydziale Inżynierii Zarządzania. Autor publikacji pt. „Wdrożenie RODO w małych i średnich organizacjach”, „Inspektor ochrony danych. Kompetencje, obowiązki i odpowiedzialność. Poradnik praktyka z wzorami dokumentów (z suplementem elektronicznym)” oraz „Dokumentacja wdrożenia RODO (z suplementem elektronicznym)”. Występuje na licznych konferencjach i seminariach branżowych w obszarze ochrony danych i bezpieczeństwa informacji, samodzielnie przeprowadził ponad 700 otwartych szkoleń i warsztatów dla administratorów bezpieczeństwa informacji (ABI) i inspektorów ochrony danych (IOD). Zawodowo zajmuje się m.in. kontrolą i audytem w zakresie ochrony danych osobowych (RODO), bezpieczeństwa informacji (ISO/IEC 27001), ciągłości działania (ISO/IEC 22301), weryfikowaniem wewnętrznych procedur i dokumentacji oraz sporządzaniem opinii prawnych. Przez szereg lat odpowiedzialny za bezpieczeństwo informacji w kilkunastu podmiotach. Przed 25 maja 2018r. koordynator projektów wdrażania RODO w szeregu organizacji zarówno sektora prywatnego jak i publicznego.

Moje doświadczenie

Ochroną danych osobowych zajmuje się zawodowo od 2009r. (10 lat) Na samym początku jako administrator bezpieczeństwa informacji (ABI) w jednostce budżetowej sektora publicznego. Kolejno jako ABI z outsourcingu wdrażając systemy ochrony danych osobowych w podmiotach służby zdrowia, produkcji, samorządzie terytorialnym, transporcie, ochronie osób i mienia, turystyce i wielu, wielu innych. Pełniłem funkcję nadzorcze zarówno jako ABI, w roli wsparcia działającego ABI jako zastępca administratora bezpieczeństwa informacji (ZABI) w wielu organizacjach. Ostatecznie jako konsultant w projektach wdrażania systemów ochrony danych osobowych zgodnie z RODO. Obecnie pełnię funkcję inspektora ochrony danych (IOD) w kilku podmiotach zaczynając od dużej grupy kapitałowej, a kończąc na małych organizacjach oraz dodatkowo zajmuje się konsultingiem w zakresie wdrażania systemów ochrony danych zgodnych z RODO, bezpieczeństwa informacji i ciągłości działania. Niniejsza strona zawiera ofertę świadczenia usług konsultingu przy wdrażaniu i nadzorowaniu systemów zarządzania oraz moje własne przemyślenia i doświadczenia zawodowe.

0
Przeszkolonych ABI
0
Wdrożenia ODO
0
Wdrożenia RODO
0
Wydane książki

Przykładowy schemat wdrożenia RODO

Poniżej znajduje się prezentacja prostego schematu jaki może zostać zastosowany przy wdrażaniu RODO w niemal każdej organizacji. Korzystając z przygotowanych i sprawdzonych w praktyce narzędzi większość organizacji jest w stanie doprowadzić do skutecznego opracowania systemu ochrony danych osobowych nawet w tydzień. Oczywiście nie oznacza to jeszcze, że organizacja ta będzie zgodna z RODO, a jedynie że posiada wszystkie narzędzia i procedury by wraz z upływem czasu doprowadzić do zgodności w tym obszarze. Każdy z poniższych 5 etapów następuje po sobie, gdyż wyniki poprzedniego są niezbędne do skutecznego przeprowadzenia kolejnego etapu. Z natury rzeczy im większa organizacja tym czas potrzebny na zrealizowanie każdego z etapów się wydłuża. Jednak nawet w skrajnych przypadkach nie przekracza on miesiąca.

AUDYT RODO

Weryfikacja poziomu zgodności z RODO jest zwykle pierwszym etapem wdrożenia systemu ochrony danych osobowych w organizacji. Celem audytu jest określenie stanu faktycznego organizacji przez pryzmat wymogów wynikających z RODO. Audyt analogiczny do audytu początkowego powinien być wykonywany okresowo. Warto skorzystać z oferty profesjonalnego audytu zewnętrznego by uzyskać niezależną i obiektywną ocenę zgodności z RODO i dowiedzieć się jak powinien wyglądać profesjonalnie przeprowadzonych audyt. Regularne audytowanie systemu ochrony danych osobowych jest niezbędnym elementem jego nadzorowania i w konsekwencji ciągłego doskonalenia.

1-2 dni robocze
DPIA

Zgodnie z RODO każda organizacja powinna co najmniej raz przeprowadzić ocenę skutków przetwarzania danych osobowych (DPIA). Mimo, że w wielu procesach przetwarzania danych osobowych DPIA nie jest wymagana to umiejętność jej przeprowadzania jest kluczem do zgodności z RODO. Co więcej aby sprostać wymogowi wdrożenia domyślnej ochrony danych osobowych (privacy by default) oraz ochrony danych osobowych na etapie projektowania produktu lub usługi (privacy by design) proces ten musi być powielany za każdym razem, gdy zamierzamy w sposób istotny zmienić proces przetwarzania danych osobowych lub gdy pojawi się nowy proces w organizacji.

1h/proces
ANALIZA RYZYKA

Zgodnie z Art. 24 RODO nie istnieje już lista zabezpieczeń, które muszą być obligatoryjnie zastosowane przez organizację. Od 25 maja 2018r. każda organizacja musi ocenić ryzyko wystąpienia zagrożeń wobec danych osobowych i zastosować takie zabezpieczenia jakie będą wynikiem planu postępowania z ryzykiem. Jednak zanim przejdziemy do analizy ryzyka należy zinwentaryzować zasoby informacyjne (aktywa), czyli w skrócie wszelkie narzędzia niezbędne do przetwarzania informacji, a konkretniej danych osobowych. Dopiero posiadając listę zasobów informacyjnych można przeprowadzić wobec nich analizę ryzyka, która wskaże czy dotychczas stosowane zabezpieczenia są adekwatne wobec zidentyfikowanych zagrożeń czy też nie.

1h/grupa zasobów
DOKUMENTACJA RODO

Zgodnie z RODO każda organizacja musi przestrzegać zasady rozliczalności, czyli być w stanie udowodnić swoją zgodność z RODO. Najprościej i najskuteczniej jest udowodnić zgodność organizacji z RODO przez przygotowanie wewnętrznej dokumentacji ochrony danych osobowych. Jednak dokumentacja ta musi być również wdrożona tzn. działać w praktyce. Tylko dopasowana dokumentacja do konkretnej organizacji będzie możliwa do wdrożenia. Część dokumentacji jest obligatoryjna, a cześć całkowicie fakultatywna jednak zgodna z wynikami oceny skutków przetwarzania danych osobowych i analizy ryzyka wobec zasobów informacyjnych.

1 dzień roboczy
SZKOLENIE RODO

Podniesienie poziomu świadomości pracowników (user awerness) w zakresie ochrony danych osobowych jest jednym z najtrudniejszych zadań każdej organizacji nałożonych przez RODO. Warto skorzystać z profesjonalnego szkolenia poprowadzonego przez eksperta z praktycznym doświadczeniem. Z jednej strony by system ochrony danych osobowych działał potrzebne jest szkolenie właścicieli procesów przetwarzania danych osobowych (rozszerzone), a z drugiej strony szkolenie personelu dopasowane do warunków w jakich przetwarzają oni dane osobowo. Szkolenie personelu medycznego z ochrony danych osobowych wygląda zdecydowanie inaczej niż szkolenie przedstawicieli handlowych.

2h/ grupa szkoleniowa

Często zadawane pytania dot. RODO

Poniżej kilka pytań, które najczęściej się pojawiają przy wdrażaniu systemu ochrony danych osobowych zgodnie z RODO w większości organizacji, szczególnie gdy do tej pory nie miały styczności z tym obszarem. Warto sięgnąć do większej liczby źródeł informacyjnych by stwierdzić jaki zakres prac jest rzeczywiście potrzebny twojej organizacji. Każdy sektor i branża różnią się sposobem przetwarzania danych osobowych jak i każdy podmiot różni się od drugiego potrzebami w zakresie zapewnienia zgodności z RODO.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) jest aktem prawnym, który zaczął obowiązywać bezpośrednio w każdym państwie UE dnia 25 maja 2018r. Okres przygotowania na rozpoczęcie obowiązywania tego aktu prawnego trwał 2 lata jednak zdecydowana większość organizacji nie poradziła sobie z tak szerokim zagadnieniem, a jeszcze mniej jest w stanie powiedzieć, że system ochrony danych osobowych działa i jest sukcesywnie doskonalony.

 

Nowe przepisy zmieniają koncepcję ochrony danych osobowych. Do 25 maja 2018r. kwestie zabezpieczania danych osobowych były regulowane przez ustawodawcę bezpośrednio (w ustawie i rozporządzeniach wykonawczych). Teraz każda organizacja musi sama określić jakie zabezpieczenia będą w jej przypadku adekwatne do istniejących zagrożeń na podstawie przeprowadzonej analizy ryzyka oraz oceny skutków przetwarzania danych osobowych. Oczywiście zastosowanie zabezpieczeń jest tylko jednym z wielu nowych obowiązków wynikających z RODO. Kolejne to zarządzanie naruszeniami ochrony danych osobowych, powołanie inspektora ochrony danych, prowadzenie rejestru czynności przetwarzania danych osobowych oraz wiele innych obowiązków, które do tej pory nie były wymagane.

RODO przewiduje bardzo wysokie górne granice kary za niedostosowanie się do obowiązujących przepisów. Górna granica kary grzywny wynosi do 20 000 000 EUR lub 4% światowego obrotu za rok ubiegły w zależności od tego, która kara będzie wyższa. Dodatkowo każdy podmiot przetwarzający dane osobowe na rzecz innego podmiotu (administratora danych), obarczony jest wysokim ryzykiem kontroli ze strony organu nadzorczego i będzie musiał się dostosować się do nowych przepisów pod rygorem zakończenia współpracy. Oczywiście same kary administracyjne to nie wszystko, każda osoba, której prawa przewidziane w RODO zostaną naruszone ma prawo dochodzenia odszkodowania z tego tytułu. Warto zapewnić prawo do prywatności zarówno klientom jak i interesantom.

Generalnie przygotowanie do RODO najczęściej składa się z 4 większych etapów. Pierwszy etap tzw. identyfikacyjny ma na celu określenie obecnego stanu zgodności z nowymi przepisami oraz zidentyfikowanie przetwarzanych danych osobowych i stosowanych zabezpieczeń (audyt zgodności z RODO). Kolejnym krokiem jest etap analityczny, który ma na celu identyfikację zasobów biorących udział w procesach przetwarzania danych osobowych oraz przeprowadzenie analizy ryzyka. Jak również przeprowadzenie oceny skutków przetwarzania danych osobowych. Następnie etap dostosowawczy, w którym dostosowuje się procesy przetwarzania danych i wdraża zabezpieczenia. Ostatecznie etap zatwierdzający, w którym przygotowuje się dokumentację ochrony danych i szkoli personel przetwarzający dane osobowe z nowych procedur postępowania z danymi osobowymi.

Niniejsza strona internetowa jest w znacznej części poświęcona przykładami skutecznych rozwiązań w zakresie dostosowania organizacji do RODO (blog). Oczywiście nie jest to jedyne źródło informacji zdecydowanie należy również sięgnąć na stronę obecnego organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych jak również stronę Europejskiej Rady Ochrony Danych Osobowych, która odpowiada za właściwą i jednolitą interpretację przepisów RODO przez podmioty z wszystkich krajów UE.

Kontakt

Potrzebujesz pomocy lub chcesz skorzystać z mojej oferty:

kontakt@chron-dane.eu

Close Menu