Opublikowano: 16 października 2017 przez Jan Nawrot

Kategoria: rodo

Lemlock Lemlock logo

"Czy RODO mnie dotyczy?" - częste pytanie wśród przedsiębiorców.

W ostatnim czasie zrobiło się głośno wokół nowych,przepisów o ochronie danych - Rozporządzenia o Ochronie Danych Osobowych - RODO (z angielskiego General Data Protection Regulation - GDPR). Dlaczego głośno? Ponieważ jak się okazuje, wielu przedsiębiorców nie zdaje sobie sprawy, że wspomniane Rozporządzenie zacznie obowiązywać od 25 maja 2018 roku i że w związku z nim muszą zaplanować, a następnie wprowadzić zmiany w zarządzaniu danymi osobowymi. Nawiązując do badania przeprowadzonego przez DMA w 2016 roku na pytanie, w jakim stopniu badane firmy są przygotowane na nieuchronne zmiany, 46% z nich wyraziło pełną gotowość, 24% stwierdziło, że są po części gotowe, natomiast 30% uznało, że są zupełnie nieprzygotowane.

Aby upewnić się, że znajdujesz się w kręgu firm, które zobowiązane są do przystosowania się do nowych zasad w ramach Rozporządzenia RODO, sprawdź poniższą infografikę:

Schemat RODO/GDPR

Jak mogę przygotować się na wdrożenie RODO?

Gdy po analizie infografiki wiesz, że jesteś jedną z firm, którą dotyczy modyfikacja systemów związanych z obsługą informacji personalnych, warto być świadomym jakości i ilości nadchodzących zmian. Zachęcamy do zapoznania się z utworzoną na tę okazję podstawową listą zadań w ramach RODO, niezbędnych do wypełnienia przed 25 maja 2018 roku. Lista zawiera pięć kluczowych obszarów i działań, które organizacje powinny rozważyć, aby móc być w pełni zgodnymi z Rozporządzeniem:

1 obszar

Podjęcie działań sprowadzających się do “analizy luk” i analizy zgodności (analiza luk polega na porównaniu rzeczywistych wyników z potencjalnym lub pożądanym wykonaniem)

  • Dokonanie przeglądu oferowanych produktów i usług
  • Dokonanie przeglądu posiadanych zestawów danych i sposobu ich zarządzania (w tym przechwytywanie danych, ujawnianie informacji osobom trzecim i eksport danych poza terytorium Europejskiego Obszaru Gospodarczego)
  • Dokonanie przeglądu aktualnych zasad poufności informacji (w tym metod przekazywania danych właściwym osobom i, w stosownych przypadkach, uzyskania przez nie zgody)
  • Dokonanie przeglądu aktualnego zestawu dokumentacji zgodności z zasadami prywatności
  • Przegląd obecnych podstaw prawnych dotyczących przetwarzania danych osobowych
  • Sprawdzenie dotychczasowych zastosowań danych dzieci i wrażliwych danych osobowych
  • Zidentyfikowanie luk w zgodności z obowiązującym prawodawstwem UE i RODO oraz określenie, jakie działania mają być przestrzegane

2 obszar

Ustalenie systemu zarządzania w swojej organizacji

  • Opracowanie programu rozliczalności i procesu przeglądu zarządzania
  • Opracowanie lub dokonanie zmiany pakietu zgodności dokumentacji, w tym rejestru naruszania danych, rejestru zarządzania danymi i oceny wpływu na prywatność (Privacy Impact Assessment - PIA)
  • Wybranie i mianowanie urzędnika ds. Ochrony danych (w stosownych przypadkach)
  • Aktualizowanie polityki obsługi żądań dostępu do informacji, materiałów, obiektów itd.
  • Aktualizowanie szkolenia personelu z zakresu ochrony danych
  • Zapewnienie w organizacji procedur technicznych i operacyjnych, które mają na celu przestrzeganie praw osób, które przekazały swoje dane, np. prawa do zapomnienia, możliwości przeniesienia danych czy prawa do sprzeciwu
  • Opracowanie dla organizacji metodologii zgodności

3 obszar

Utrzymanie klarowności i sensowności umów oraz polityk

  • Zidentyfikowanie kontraktów “third party”, związanych z danymi osobowymi
  • Przejrzenie istniejących podstaw prawnych w organizacji i potwierdzenie, że są one wystarczające w ramach Rozporządzenia
  • Opracowanie szablonów dla umów dotyczących przetwarzania danych dla dostawców usług zewnętrznych; umów dotyczących eksportu, importu i przetwarzania danych wewnątrzgrupowych; wspólnych kontraktów kontrolnych; klauzuli podziału odpowiedzialności
  • Zaktualizowanie informacji o zasadach dotyczących prywatności i informacji publicznej
  • Wdrożenie nadrzędnej polityki ochrony danych, która łączy w sobie wszystkie zasady i procesy związane z zachowaniem prywatności powierzonych informacji. Traktowanie wspomnianego wdrożenia jako szeroko rozumianego procesu projektowania
  • Przejrzenie warunków, w których można uzyskać zgodę na prywatność

4 obszar

Wprowadzanie działań w celu zachowania odpowiedniego poziomu bezpieczeństwa

  • Ustalenie czy organizacja przetwarza wrażliwe dane osobowe, jakiego rodzaju i w jakiej ilości
  • Sprawdzenie wszystkich transgranicznych przepływów danych (między Europą a innymi kontynentami) oraz dokonanie przeglądu i aktualizacji mechanizmów służących do eksportowania danych
  • Przejrzenie protokołów bezpieczeństwa i rozważenie integracji środków bezpieczeństwa określonych w ramach RODO, w tym szyfrowania i pseudonimizacji
  • Przegląd i aktualizacja planów działania w przypadku złamania bezpieczeństwa danych
  • Zapoznanie się z obowiązkiem zgłaszania naruszenia bezpieczeństwa w ramach RODO
  • Stworzenie szablonu zgłaszania naruszenia bezpieczeństwa i planu reagowania na naruszenie bezpieczeństwa

5 obszar

Wprowadzanie działań w celu zachowania odpowiedniego poziomu bezpieczeństwa

  • Opracowanie kryteriów oceny wpływu na prywatność
  • Traktowanie ochrony danych osobowych i przeglądu procesów w ramach zachowania prywatności jako procesu projektowania (z ang. privacy by design )
  • Stworzenie protokołu oceny wpływu na prywatność

Podsumowując:

Rozporządzenie o Ochronie Danych Osobowych dotyczy wszystkich podmiotów, które posiadają siedzibę na terenie Unii Europejskiej i których prawidłowa działalność jest związana z przetwarzaniem danych osobowych. RODO stosuje się także wobec biznesów nie mających swoich oficjalnych siedzib w Unii Europejskiej, a korzystających z danych na temat mieszkańców wspomnianego obszaru; oferujących im produkty oraz usługi i sprawdzających zachowania konsumenckie. Omawiane Rozporządzenie to największa zmiana w podejściu do ochrony danych osobowych od ostatnich dwudziestu lat. Wskazane jest jak najszybsze zweryfikowanie sytuacji firmy pod względem bezpieczeństwa i podjęcie działań mających na celu stanie się podmiotem zgodnym z postanowieniami z maja 2016 roku. Należy mieć świadomość, że nieprzestrzeganie zasad Rozporządzenia będzie surowo karane przez nakładanie kar finansowych w wysokości nawet 4% rocznych obrotów lub 20 mln euro.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: