Wdrożenie zasad określonych w przepisach odnoszących się do zabezpieczenia danych osobowych wiąże się z szeregiem profesjonalnych działań, które przyczynią się do spełnienia przez podmiot obowiązków wynikających z RODO. Poznaj podstawę oraz czynności, jakie powinien wykonać w tym zakresie podmiot przetwarzający dane osobowe.
Jak wprowadzić do firmy/organizacji zasady związane z ochroną danych osobowych
Bezpieczeństwo danych osobowych to ważny element funkcjonowania podmiotów działających na rynku. Zasady ochrony tych danych określają Rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz polskie przepisy branżowe. Wprowadzenie do procesów funkcjonujących w podmiocie zmian zmierzających do ochrony danych osobowych wymaga odpowiedniego zabezpieczenia wszystkich działań, które dotykają kwestii przetwarzania tych danych.
Istotną kwestią jest dostosowanie wprowadzanych działań do specyfiki działalności biznesowej firmy czy organizacji. Dlatego tak istotne jest skorzystanie z wiedzy, kompetencji i doświadczenia specjalistów, którzy stworzą kompleksowy system zabezpieczenia danych obejmujący wszystkie elementy działania podmiotu.
Wdrożenie RODO musi być poprzedzone gruntownym audytem RODO, będącym szczegółową analizą procesów funkcjonujących w firmie/organizacji pod kątem ich zgodności z obowiązkami wynikającymi z obowiązujących przepisów. Na jego podstawie określone zostaną m.in.:
- sfery działania podmiotu, do których należy stosować przepisy RODO;
- status poszczególnych podmiotów przetwarzających dane osobowe;
- legalność przetwarzania danych w odniesieniu do RODO.
Weryfikacji powinny podlegać także stosowane klauzule zgód, obowiązków informacji czy treści stosowanych umów powierzenia przetwarzania danych. Jednocześnie, w ramach audytu RODO należy określić procedury realizacji praw podmiotów danych i obowiązków administratorów oraz określić zgodność stosowanych środków technicznych i organizacyjnych do przepisów związanych z zabezpieczeniem danych.
Efektem końcowym audytu jest stworzenie raportu, który będzie opisywał niezgodności i naruszenia prawa RODO oraz rekomendacje odnoszące się do likwidacji tychże niezgodności i nieprawidłowości.
Wdrożenie RODO pozwala wprowadzić rekomendacje wynikające z przeprowadzonego audytu w procesy funkcjonujące w firmie/organizacji. Obejmuje ono 2 etapy, odnoszące się bezpośrednio do funkcjonowania podmiotu. Dotyczą one dostosowania procesów przetwarzania danych do obowiązujących przepisów i dostosowanie środowiska teleinformatycznego, które zmuszone będzie funkcjonować na zasadach umożliwiających przestrzegania prawa w zakresie zabezpieczenia danych osobowych.
Wdrożenie RODO – dostosowanie procesów przetwarzania danych
Jednym z kluczowych elementów dostosowania procesów przetwarzania danych jest wprowadzenie kompleksowej polityki bezpieczeństwa. Składa się na nią szereg dokumentów związanych m.in. z:
- procedurami szacowania ryzyka,
- planem postępowania z ryzykiem,
- oceną skutków przetwarzania danych,
- prowadzeniem rejestru czynności przetwarzania danych osobowych,
- klauzulami do zbierania danych i wynikających z tego obowiązków informacyjnych administratora.
Istotną rolę w systemie ochrony danych ma Inspektor Ochrony Danych. Dlatego też, podczas wdrażania systemu istotne jest określenie jego statusu i zadań. Przygotowuje się także dokument określający procedury rozpatrywania żądań podmiotów kierowanych do administratora.
Właściwy system ochrony danych osobowych zawiera również procedurę współpracy z podmiotami zewnętrznymi w zakresie powierzania danych oraz, w razie konieczności, zapewnia wybór odpowiednich mechanizmów transferu danych osobowych do państw trzecich lub organizacji międzynarodowych.
Wdrożenie RODO – dostosowanie środowiska teleinformatycznego
Systemy IT mają kluczową rolę w zakresie zabezpieczenia danych osobowych. Komputery podłączone do internetu mogą nie uwzględniać ochrony danych w wystarczającym stopniu. Konieczne jest zatem podjęcie działań zmierzających do ochrony danych przetwarzanych przy ich wykorzystaniu. Wiąże się to m.in. z wprowadzeniem trybu zarządzania użytkownikami i uprawnieniami, a także wykonywaniem i odzyskiwaniem kopii zapasowych czy obsługą incydentów.
Dostosowanie funkcjonowania systemów teleinformatycznych może także polegać na wdrożeniu przydatnych narzędzi IT w zakresie systemu kwalifikacji informacji, zapobieganiu wycieku informacji czy wprowadzenia platformy zarządzania informacją związaną z bezpieczeństwem i zdarzeniami.
Źródło: https://www.isecure.pl