RODO co to jest

Już od maja wchodzą w życie zmiany w ochronie danych osobowych zwane jako RODO co trzeba wiedzieć.

RODO (Rozporządzenie o Ochronie Danych Osobowych,znane też jako GDPR) ­– to rozporządzenie unijne, które 25 maja będzie obowiązywać we wszystkich krajach członkowskich UE także w Polsce.

Systemy ustawodawcze krajów Unii Europejskiej wprowadzają ujednolicenie przepisów o ochronie danych osobowych. W założeniu ustawodawców to właśnie przepisy RODO mają gwarantować równy poziom ochrony danych osobowych w całej UE.

RODO – czy dotyczy mojej firmy ?

Nowe przepisy dotyczą wszystkich podmiotów, które w związku z prowadzoną działalnością przetwarzają dane osobowe. Niezależnie od ich wielkości, skali działania i formy prawnej . Nowe rozporządzenie ujednolica zasady wg których dane osobowe mają być chronione, ale nie wskazują na konkretny sposób prowadzenia ochrony.

Podsumowując, nowe przepisy o RODO nie wskazują gotowych rozwiązań jakie mają być wdrożone w firmach w celu wyegzekwowania  nowych wymogów prawnych.

Jakie będą nowe zasady przetwarzania danych ?

Dokument RODO wskazuje na nowe podstawowe zasady, którymi trzeba kierować się przetwarzając dane. Wyróżnia się ich siedem:

• Zasada minimalizacji ilości danych

Przetwarzanie danych należy ograniczyć do niezbędnego minimum. Rodzaje zbieranych danych mają odpowiadać jasno określonym celom. Ponadto należy je okresowo – zgodnie z ustalonym terminarzem – przeglądać i usuwać.

• Zasada integralności i poufności

Przetwarzanie danych musi odbywać się w sposób gwarantujący ich bezpieczeństwo. Dane osobowe muszą być odpowiednio chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą czy zniszczeniem.

• Zasada zgodności z prawem, rzetelności i przejrzystości

Przetwarzanie danych może się odbywać zgodnie z prawem i rzetelnie, zawsze w sposób przejrzysty dla osoby, której dane dotyczą.

• Zasada ograniczenia celu przetwarzania danych

Dane mogą być zbierane i przetwarzane w konkretnych i prawnie uzasadnionych celach. Nie mogą też być przetwarzane dalej w sposób niezgodny z tymi celami.

• Zasada prawidłowości danych

Zgodnie z zasadą prawidłowości danych, muszą zostać zapewnione wszelkie działania, by dane, były prawidłowe i aktualne. Te dane, które nie są prawidłowe w kontekście celów ich przetwarzania, powinny być od razu skorygowane lub usunięte.

• Zasada ograniczenia przechowania danych

Przetwarzane dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą i nie mogą być przechowywane dłużej niż jest to niezbędne do celów, w których są one przetwarzane.

Zezwala się na dłuższe przechowanie gromadzonych danych tylko w celach archiwalnych
w interesie publicznym, do badań naukowych lub historycznych, a także w celach statystycznych (ale wyłącznie pod warunkiem wdrożenia środków technicznych i organizacyjnych w celu ochrony praw tych, których dotyczą).

• Zasada rozliczalności

Administrator przechowywanych danych musi być w stanie wykazać w toku kontroli, że podejmowane przez niego działania są zgodne ze wszystkim wcześniejszymi zasadami.

Uprawnienia podmiotów, których dane są przetwarzane

By pozostać w zgodzie z nowym rozporządzeniem, należy zwrócić szczególną uwagę na uprawnienia, jakie na mocy rozporządzenia posiadają podmioty fizyczne, których dane osobowe podlegają gromadzeniu i przetwarzaniu. Spore znaczenie mają:

• prawo do bycia zapomnianym (usunięcie danych z systemów)
• prawo do przeniesienia danych do innego podmiotu
• prawo do sprzeciwu wobec przetwarzania danych
• prawo do uzupełniania i żądania korekty danych

Ma to ogromne znaczenie ze względu na fakt, iż intencją ustawodawcy, przepisy  RODO opierają się na przekonaniu, że podmiot przetwarzające dane powinien widzieć je nie tylko w kategorii wartości czy źródła przychodu, ale przede wszystkim z perspektywy poszanowania prawa do prywatności.

UWAGA! Ta intencja ustawodawcy podparta jest realnymi sankcjami. Za nieprzestrzeganie zapisów rozporządzenia RODO grozi karami administracyjnymi nawet w wysokości 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku (zastosowanie ma wyższa kwota).

General Data Protection Regulation (RODO)

Obowiązki RODO dla przedsiębiorców

Budowa systemu ochrony danych zgodnie z wymogami RODO

Znika obowiązek rejestrowania w GIODO baz danych który do tej pory przedsiębiorcy wykonywali. W jego miejsce wchodzi obowiązek zbudowania systemu ochrony danych osobowych zgodnie z wymogami RODO. Musi on uwzględniać następujące zasady:

1. prywatność od podstaw – ochrona danych ma być wbudowywana w produkt/usługę już na etapie ich projektowania – to zadanie dla systemów ERP i innych narzędzi informatycznych.
2. prywatność domyślna – ochrona danych ma być aktywna domyślnie, bez potrzeby podejmowania dodatkowych działań ze strony osoby, której dotyczy.
3. ocena wpływu na prywatność – wg tej zasady administrator danych osobowych ma obowiązek dokonywać oceny procesu przetwarzania danych dla ich ochrony. Ocena taka ma uwzględniać: charakter, zakres, kontekst, cel przetwarzania oraz wykorzystaną technologię.

Inspektor Ochrony Danych – kiedy wymagany

Wymóg zatrudnienia Inspektora Ochrony Danych będą miały firmy o liczbie pracowników powyżej 250. Zastąpi on dotychczasowego Administratora Bezpieczeństwa Informacji. Inspektor Ochrony Danych  prowadzić będzie stały nadzór nad zgodnością prowadzonych działań z prawem, na nim będzie też ciążyć obowiązek kontaktów z Urzędem Ochrony Danych Osobowych. Inspektorem może zostać zarówno pracownik firmy (także wcześniejszy ABI), zespół osób pod kierownictwem, jak i pracownik firmy zewnętrznej.

Zaplecze techniczne i procedury

Nowe przepisy o RODO wymagają optymalizacji całego środowiska pracy i procedur działania przedsiębiorstwa. Począwszy od zdefiniowania  przechowywania dokumentacji papierowej, po przez gromadzoną na nośnikach przenośnych, aż po dane gromadzone elektronicznie. Bez właściwej organizacji danych w firmie nie da się zagwarantować zgodność z przepisami RODO.

Oprogramowanie dostarczane przez nas, systemy Streamsoft – gotowe jest w zakresie ochrony danych przechowywanych w systemie, w zakresie możliwości technicznych związanych z wypełnianiem obowiązków RODO.

Jak przygotować firmę do RODO

Poruszyliśmy najczęstsze kwestie, z którymi firmy spotkają się przy wdrożeniu procedur RODO. Przypominamy raz jeszcze, że rozporządzenie określa ramy, a nie konkretnie właściwe dla danej firmy działania. Z czego to wynika?

Otóż każda organizacja czy firma ma swoją odrębną specyfikę, która wyraża się w odmiennych procesach i procedurach obecnych w związku z przetwarzaniem danych osobowych. To właśnie ta specyfika  decyduje w jakim zakresie podjąć działania, by w pełni spełnić wymagania RODO.

Jeśli kierownictwo i management firmy mają problem z ustaleniem wytycznych co do procedur związanych z RODO, warto rozważyć współpracę ze specjalistyczną firmą wdrożeniową jak IXION, która wspomoże zarząd we wdrażaniu procedur i oprogramowania. Po przeprowadzeniu audytu, pomożemy przygotować całość struktury firmy na wejście w życie nowych przepisów.

Mechanizmy wspierające RODO w systemie Streamsoft Prestiż

• Mechanizmy konfigurowania bezpieczeństwa haseł

Mechanizmy zapewniają zgodność z wymogami rozporządzenia RODO pod względem tworzenia silnych haseł na odpowiednim poziomie bezpieczeństwa

• Rejestr czynności przetwarzania danych osobowych

zezwala na jednolity opis wszystkich procesów – czynności zachodzących w przedsiębiorstwie – w których obecne są dane wrażliwe

• Rejestr upoważnień przetwarzania danych osobowych

umożliwia utworzenie zestawień jakim osobom nadano dostęp do jakich danych. Spis rejestruje także cofnięcie dostępu

• Rejestr udostępnień danych osobowych

czyli możliwość sprawnej lokalizacji podmiotów i osób, którym udostępniono dane oraz informacje o powodzie, a także na jaki okres nastąpiło udostępnienie

• Rejestr naruszeń przetwarzania danych osobowych

rejestr ten pozwala zapisać ewentualny wyciek danych wrażliwych, o których właściciel danych i organ państwowy muszą być powiadomieni w ciągu 72h

• Anonimizacja informacji

nowy mechanizm, który umożliwia trwałe zamazanie danych osobowych w bazie. Odbywa się ono na żądanie osoby uprawnionej, pod warunkiem zgodności z prawem

• Metoda i czas pozyskania danych osobowych

umożliwia rejestrowanie informacji o źródle i dacie pozyskania wszystkich danych osobowych, do których firma zyskuje dostęp. Pozwala informować właścicieli danych jak i kiedy zostały one nabyte

• Rejestr działań operatorów systemu

umożliwia prowadzenie ewidencji wszystkich działań, jakich dokonują operatorzy systemu w zakresie przetwarzania danych osobowych,
np. jakich zmian czy wydruków dokonali

• Definiowanie uprawnień dla operatorów

pozwala określić do jakiego poziomu danych osobowych w systemie posiada dostęp dany operator oraz do jakich działań z związanych z nimi jest uprawniony

• Dokumentacja struktur danych, architektury i komponentów systemu

opis architektury i struktur danych systemu, ułatwiający orientację gdzie i jaki rodzaj danych jest przetwarzany, wspomaga opracowanie strategii zabezpieczenia

RODO – podsumowanie 

Jeżeli dalej masz problem i nie wiesz czy twoja firma jest gotowa na wejście przepisów o RODO, skontaktuj się z nami i wypełnij formularz.