5 kroków do wdrożenia RODO
Jeśli chcesz wdrożyć RODO samodzielnie, pierwsze co powinieneś zrobić, to przygotować : plan wdrożenia RODO.
Poniżej podam Ci 5 podstawowych kroków, które będzie musiał wykonać wdrażając RODO samodzielnie (zresztą, te same kroki wykonuję też u moich Klientów) a są to:
KROK 1: AUDYT RODO
KROK 2: ANALIZA RYZYKA
KROK 3: DOKUMENTACJA RODO
KROK 4. KLAUZULA RODO
KROK 5: MONITOROWANIE RYZYKA
KROK 1 – AUDYT firmy
Zajrzyj do wpisu Audyt Twojego Biznesu” i przeprowadź audyt z moim filmikiem instruktażowym i materiałami PDF.
KROK 2 – ANALIZA ryzyka naruszenia ochrony danych osobowych.
Pamiętaj, że przeprowadzenie ANALIZY RYZYKA NARUSZENIA DANYCH jest konieczne. Jest to nowy obowiązek wynikający z RODO, który na pewno będzie weryfikowany podczas kontroli.
Zresztą – na marginesie, bez wykonania analizy ryzyka, nie będzie możliwe właściwe zabezpieczenie danych.
Jak przeprowadzić taką analizę? Zajrzyj do wpisu.
KROK 3. DOKUMENTACJA RODO
Dokumenty te są też jednym ze środków zabezpieczających przed naruszeniem ochrony danych.
Wprowadzenie procedur w firmie i stosowanie się do nich nie tylko bowiem pomaga uporządkować sprawy związane z danymi w firmie, ale także pomaga „pracować” na danych w prawidłowy sposób.
Posiadanie spisanych procedur ogranicza także każdorazowo wdrażanie nowych osób. Nowy pracownik ma bowiem wszystko w nich opisane i w związku z tym, poza ewentualnym rozwianiem wątpliwości, właściciel firmy bądź inny oddelegowany pracownik nie musi poświęcać dodatkowego czasu na takie zapoznanie i wdrożenie nowego pracownika.
Dokumenty RODO
RODO nie narzuca listy wymaganej dokumentacji.
Przedstawiam poniżej wytyczne Urzędu Ochrony Danych Osobowych dot. dokumentów, które w zależności od firmy powinny być przygotowane:
- Polityka ochrony danych osobowych,
- Instrukcja zarządzania systemem informatycznych,
- Upoważnienie do przetwarzania danych osobowych i inne dokumenty pomocne przy ewidencji upoważnień,
- Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, o których mowa w art. 30 RODO – o ile dotyczy,
- Procedurę obsługi praw osób, których dane dotyczą;
- Wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
- Procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
- Procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
- Raport z przeprowadzonej, ogólnej analizy ryzyka;
- Raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
- Procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
- Plan ciągłości działania – art. 32 ust 1 pkt b RODO;
- Procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
Są to oczywiście dokumenty przykładowe, wskazane m.in. przez Urząd Ochrony Danych Osobowych. Każdorazowo należy ocenić, które dokumenty faktycznie będą przydatne w firmie i będą mogły wspomóc ochronę danych osobowych.
KROK 4. KLAUZULA RODO
Jeśli zbierasz dane osobowe, każda osoba, od której otrzymałeś dane powinna być poinformowana o tym, co z tymi danymi robisz.
Zajrzyj do przygotowanego przeze mnie PDF „Obowiązek informacyjny – sprawdź czy go realizujesz” w ramach wpisu: https://kingakonopelko.pl/klauzula-rodo/
Zapoznaj się z najważniejszym elementami tego obowiązku i sprawdź co musisz nadrobić.
Znajdziesz w nim także odpowiedź na pytanie:
- Dlaczego obowiązek informacyjny jest tak ważny?
- Dlaczego to, że to właśnie z powodu niezrealizowania tego obowiązku nałożono karę blisko 950 000 zł nie jest jedynym powodem?
- Jakie informacje powinieneś zawrzeć w klauzuli informacyjnej RODO?
- W jakich obszarach powinieneś zrealizować obowiązek informacyjny? Kogo powinieneś poinformować?
KROK 5 – MONITOROWANIE
Należy monitorować stosowanie przepisów nie tylko do dnia wdrożenia. Proces dbania o przetwarzanie danych osobowych w firmie jest bowiem procesem, nad którym powinno się czuwać przez cały czas.
Na potwierdzenie tego, zalecane jest wykonywanie okresowych wewnętrznych kontroli/audytów czy ponownej analizy ryzyka, np. po roku od jej pierwszego wykonania
INFORMACJA PONIŻEJ JEST DLA OSÓB, KTÓRE NIE CHCĄ WDRAŻAĆ RODO SAMODZIELNIE
Jeżeli nie chcesz wdrażać RODO samodzielnie, skontaktuj się ze mną, SKORZYSTAJ ZE WSPARCIA PRZY WDROŻENIU RODO :
1) zamów indywidualne wdrożenie RODO,
2) zamów dostęp do pakietu dokumentów,
2) dołącz do kursu „Samodzielne wdrożenie RODO” .