Sprawdź, czy jesteś gotowy na RODO

Już 25 maja wejdzie w życie Rozporządzenie UE o Ochronie Danych Osobowych (RODO/GDPR). Od tego dnia na wszystkie organizacje, które do kwestii związanych z ochroną danych nie podchodzą zbyt poważnie, mogą zostać nałożone pokaźne kary.

To ostatni moment, byś sprawdził, czy Twoja organizacja jest przygotowana na zapowiadane od dawna zmiany. Przygotowaliśmy listę kontrolną, dzięki której zorientujesz się, na jakie aspekty ochrony danych musisz jeszcze zwrócić uwagę. A czasu pozostało… bardzo niewiele!

Sprawdź, czy dane osobowe podmiotów z UE są gromadzone w sposób stały lub systematyczny na dużą skalę.

Jeżeli firma nie znajduje się na terenie Unii Europejskiej, nie prowadzi żadnych interesów z europejskimi organizacjami i nie przetwarza danych osób zamieszkujących Unię, GDPR nie będzie jej dotykać. Jednak jeśli organizacja współpracuje z firmami zlokalizowanymi na obszarze UE lub przetwarza dane jej obywateli, musi zastosować się do nowych przepisów. Przetwarzając dane osobowe podmiotów z Unii Europejskiej, należy przestrzegać wymogów bezpieczeństwa określonych w artykule 30. RODO oraz w innych punktach rozporządzenia.

Sprawdź, gdzie przechowywane są poufne dane.

Wiedza o tym, gdzie faktycznie przechowywane są wszystkie wrażliwe dane osobowe klientów czy innych podmiotów jest kluczowa! Może się zdarzyć, że ktoś zażąda, aby jego dane zostały całkowicie wykasowane – wówczas będziesz musiał szybko zareagować. Wiedza na temat lokalizacji wszystkich danych może w znacznym stopniu skrócić czas usunięcia takich informacji.

Sprawdź, czy jesteś w stanie szybko uzyskać dostęp do danych i je wykasować.

W związku z RODO osoby fizyczne zyskają większe prawa związane z dostępem do swoich danych. Oznacza to, że w każdym momencie powinny mieć możliwość skorygowania nieścisłości, usunięcia danych, wycofania zgody na dostarczanie informacji marketingowych oraz wstrzymania zautomatyzowanego gromadzenia danych.

Sprawdź, czy Twoje rozwiązania i procesy IT wdrażają zasady privacy by design oraz privacy by default.

Artykuł 25. RODO wprowadza pojęcia privacy by design i privacy by default, czyli ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Fragment ust. 1 omawianego artykułu brzmi:

„(…) administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.”

Oraz ust. 2:

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.”

Oznacza to, że środki ochrony danych powinny być w najlepszym stopniu zintegrowane z systemem informatycznym oraz odpowiednimi procesami organizacyjnymi, zanim system zostanie po raz pierwszy uruchomiony.

Firma musi wdrożyć odpowiednie środki w celu ochrony praw i wolności osób, których dane dotyczą. Podczas wdrażania systemu informatycznego, który gromadzi, przechowuje lub przetwarza dane osobowe, należy dokonać rzetelnej oceny zagrożeń dla tych praw i wolności przez wybrane rozwiązanie.

Sprawdź, czy posiadasz działające rozwiązanie do kasowania danych.

Jednym z głównych aspektów RODO jest wprowadzenie prawa do bycia zapomnianym. Oznacza to, że jeżeli nie istnieje już uzasadniona konieczność przechowywania danych osobowych, takich jak inne podstawy prawa, były klient czy pracownik może żądać bezpiecznego usunięcia swoich danych.

Jak już wcześniej wspomnieliśmy, wiedza na temat miejsc przechowywania danych jest konieczna. Po zlokalizowaniu danych powinny zostać one bezpiecznie i całkowicie wykasowane. Co więcej, organizacje będą musiały być w stanie udowodnić, że owe informacje zostały trwale usunięte ze wszystkich miejsc. Z pomocą może przyjść usługa weryfikacji skuteczności kasowania danych.

Sprawdź, czy wdrożyłeś plan działania na wypadek naruszenia ochrony danych.

Zgodnie z nowymi przepisami po wykryciu naruszenia danych przedsiębiorstwo zobowiązane będzie zgłosić to Urzędowi Ochrony Danych Osobowych (powołany w miejsce GIODO). Dlatego jednym z głównych celów planu reagowania na naruszenia jest ustalenie wpływu ujawnienia informacji poufnych oraz tego, czy zagrożone są wrażliwe dane dotyczące obywateli UE. Ponadto plan powinien zawierać środki, które można szybko wdrożyć w celu ograniczenia naruszeń i zapobieżenia zawłaszczeniu danych szczególnie chronionych w wyniku tego ujawnienia.

I wreszcie – jeżeli jeszcze tego nie zrobiłeś – powinieneś:

Powołać inspektora ochrony danych.

Powołanie Inspektora Ochrony Danych (IOD) jest wymagane dla wszystkich organizacji, jeżeli:

• organizacja przetwarzająca dane jest jednostką publiczną (z wyjątkiem sądów),
• organizacja przetwarza dane na dużą skalę, a operacje przetwarzania „ze względu na swój charakter, zakres i/lub cele” wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą,
• organizacja przetwarza duże ilości danych osobowych i szczególnie chronionych, takich jak wszystkie dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia itp. oraz dane związane z wyrokami skazującymi i przestępstwami kryminalnymi.

Krótko mówiąc, powołanie inspektora ochrony danych wymagane będzie od dużych podmiotów. Jego głównym zadaniem będzie dopilnowanie, aby w organizacji istniały i działały właściwe procesy zgodnego z prawem przetwarzania danych w ramach RODO. Dodatkowo będzie musiał on stale monitorować zarówno procesy, jak i bieżące oraz nowe dane przychodzące tak, aby zarządzenie nimi odbywało się zawsze zgodnie z przepisami.