SYSTEMY ZARZĄDZANIA ORANIZACJĄ

Wdrożenia RODO, ISO 27001, ISO 22301, KSC, KRI, etc...

Ochrona danych osobowych zgodnie z RODO

Poniżej znajduje się prezentacja prostego schematu jaki może zostać zastosowany przy wdrażaniu RODO w niemal każdej organizacji. Korzystając z przygotowanych i sprawdzonych w praktyce narzędzi większość organizacji jest w stanie doprowadzić do skutecznego opracowania systemu ochrony danych osobowych nawet w tydzień. Oczywiście nie oznacza to jeszcze, że organizacja ta będzie zgodna z RODO, a jedynie że posiada wszystkie narzędzia i procedury by wraz z upływem czasu doprowadzić do zgodności w tym obszarze. Każdy z poniższych 5 etapów następuje po sobie, gdyż wyniki poprzedniego są niezbędne do skutecznego przeprowadzenia kolejnego etapu. Z natury rzeczy im większa organizacja tym czas potrzebny na zrealizowanie każdego z etapów się wydłuża. Jednak nawet w skrajnych przypadkach nie przekracza on miesiąca.

AUDYT ZGODNOŚCI Z RODO

Weryfikacja poziomu zgodności z RODO jest zwykle pierwszym etapem wdrożenia systemu ochrony danych osobowych w organizacji. Celem audytu jest określenie stanu faktycznego organizacji przez pryzmat wymogów wynikających z RODO. Audyt analogiczny do audytu początkowego powinien być wykonywany okresowo. Warto skorzystać z oferty profesjonalnego audytu zewnętrznego by uzyskać niezależną i obiektywną ocenę zgodności z RODO i dowiedzieć się jak powinien wyglądać profesjonalnie przeprowadzonych audyt. Regularne audytowanie systemu ochrony danych osobowych jest niezbędnym elementem jego nadzorowania i w konsekwencji ciągłego doskonalenia.

OCENA SKUTKÓW PRZETWARZANIA (dpia)

Zgodnie z RODO każda organizacja powinna co najmniej raz przeprowadzić ocenę skutków przetwarzania danych osobowych (DPIA). Mimo, że w wielu procesach przetwarzania danych osobowych DPIA nie jest wymagana to umiejętność jej przeprowadzania jest kluczem do zgodności z RODO. Co więcej aby sprostać wymogowi wdrożenia domyślnej ochrony danych osobowych (privacy by default) oraz ochrony danych osobowych na etapie projektowania produktu lub usługi (privacy by design) proces ten musi być powielany za każdym razem, gdy zamierzamy w sposób istotny zmienić proces przetwarzania danych osobowych lub gdy pojawi się nowy proces w organizacji.

ANALIZA RYZYKA

Zgodnie z Art. 24 RODO nie istnieje już lista zabezpieczeń, które muszą być obligatoryjnie zastosowane przez organizację. Od 25 maja 2018r. każda organizacja musi ocenić ryzyko wystąpienia zagrożeń wobec danych osobowych i zastosować takie zabezpieczenia jakie będą wynikiem planu postępowania z ryzykiem. Jednak zanim przejdziemy do analizy ryzyka należy zinwentaryzować zasoby informacyjne (aktywa), czyli w skrócie wszelkie narzędzia niezbędne do przetwarzania informacji, a konkretniej danych osobowych. Dopiero posiadając listę zasobów informacyjnych można przeprowadzić wobec nich analizę ryzyka, która wskaże czy dotychczas stosowane zabezpieczenia są adekwatne wobec zidentyfikowanych zagrożeń czy też nie.

DOKUMENTACJA ZGODNOŚCI Z RODO

Zgodnie z RODO każda organizacja musi przestrzegać zasady rozliczalności, czyli być w stanie udowodnić swoją zgodność z RODO. Najprościej i najskuteczniej jest udowodnić zgodność organizacji z RODO przez przygotowanie wewnętrznej dokumentacji ochrony danych osobowych. Jednak dokumentacja ta musi być również wdrożona tzn. działać w praktyce. Tylko dopasowana dokumentacja do konkretnej organizacji będzie możliwa do wdrożenia. Część dokumentacji jest obligatoryjna, a cześć całkowicie fakultatywna jednak zgodna z wynikami oceny skutków przetwarzania danych osobowych i analizy ryzyka wobec zasobów informacyjnych.

SZKOLENIE Z RODO

Podniesienie poziomu świadomości pracowników (user awerness) w zakresie ochrony danych osobowych jest jednym z najtrudniejszych zadań każdej organizacji nałożonych przez RODO. Warto skorzystać z profesjonalnego szkolenia poprowadzonego przez eksperta z praktycznym doświadczeniem. Z jednej strony by system ochrony danych osobowych działał potrzebne jest szkolenie właścicieli procesów przetwarzania danych osobowych (rozszerzone), a z drugiej strony szkolenie personelu dopasowane do warunków w jakich przetwarzają oni dane osobowo. Szkolenie personelu medycznego z ochrony danych osobowych wygląda zdecydowanie inaczej niż szkolenie przedstawicieli handlowych.

Kontakt

Serdecznie zapraszam do kontaktu z wykorzystaniem poniższego formularza kontaktowego lub bezpośrednio korzystając z danych znajdujących się w zakładce kontakt.