72 godziny na zgłoszenie naruszenia

72 godziny na zgłoszenie naruszenia

72 godziny na zgłoszenie naruszenia

Odpowiedzialny administrator danych osobowych dba o to, by odpowiednio zabezpieczyć wszystkie zagadnienia związane z przetwarzaniem danych osobowych. Polega to zarówno na wprowadzeniu odpowiednich technicznych środków ochrony, procedur, szkoleniu pracowników i współpracowników, jak i podpisaniu odpowiednich upoważnień czy umów powierzenia. Odpowiedzialny administrator jest też przygotowany na sytuację, gdy nastąpi incydent związany z naruszeniem ochrony danych. Specjaliści od analizy ryzyka i bezpieczeństwa są zgodni, że należy myśleć w kategoriach „kiedy nastąpi”, a nie „czy nastąpi” takie naruszenie. Po prostu żyjemy i pracujemy w świecie elektroniki i technologii, a najbardziej zawodnym zawsze będzie czynnik ludzki. Dlatego ważne jest, aby administrator danych osobowych wiedział, jakie ciążą w takiej sytuacji na nim obowiązki. To właśnie z tytułu niewłaściwego postępowania, czy wręcz próby zatajenia informacji o naruszeniu, UODO może nakładać najbardziej dotkliwe kary finansowe.

Czym jest naruszenie ochrony danych osobowych

Naruszenie bezpieczeństwa w RODO zdefiniowane jest w sposób następujący:

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

RODO, artykuł 4 punkt 12

W motywie 75 preambuły znajdziemy ponadto przykłady, kiedy występuje ryzyko naruszenia ochrony danych osobowych. Są to między innymi sytuacje, które mogą prowadzić do:

  • uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych
  • dyskryminacji
  • kradzieży tożsamości lub oszustwem dotyczącym tożsamości
  • straty finansowej
  • naruszenia dobrego imienia
  • naruszenia poufności danych chronionych tajemnicą zawodową
  • nieuprawnionego odwrócenia pseudoanonimizacji
  • wszelkiej znacznej szkody gospodarczej lub społecznej

Jednocześnie naruszeniem ochrony danych osobowych występuje zawsze, jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności, lub wyroków skazujących i naruszeń prawa, lub związanych z tym środków bezpieczeństwa.

Bezpieczeństwo danych osobowych, czyli RODO w interesie Twojej firmy!

RODO nic nie mówi o tym, jak ma wyglądać bezpieczeństwo procesu przetwarzania. Znajdziemy w nim ogólne zasady, którym ma ono podlegać. Wymaga też od administratora analizy, jakie dane osobowe i w jakim celu są przetwarzane, czyli prowadzenia rejestru czynności przetwarzania. Musi on także dokonać analizy ryzyka konsekwencji, jakie mogą się wiązać dla osoby, która nam swoje dane powierzyła, gdy wystąpi naruszenie ochrony tych danych. Do administratora należy na tej podstawie zapewnienie odpowiednich zabezpieczeń, zarówno technicznych jak i proceduralnych. Podjęte środki bezpieczeństwa, w zależności od wielkości firmy, skali działalności, czy rodzaju przetwarzanych danych mogą się diametralnie między sobą różnić.

SECURITY

Czy wdrożenie tych bezpiecznych rozwiązań będzie kosztowne i czasochłonne, zależy od przeprowadzonej przez Ciebie analizy oraz podjętych decyzji. Z moich obserwacji wynika, że osoby prowadzące mikro i małe przedsiębiorstwa z gałęzi e-commerce, edukacji czy usług nie powinny mieć z tym większych problemów. Tak naprawdę wiele z technicznych mechanizmów ochrony powinno być przez Ciebie stosowanych od dawna także w życiu prywatnym.

Odnoszą się one do bezpiecznego korzystania z komputera, Internetu i poczty elektronicznej, przechowywania czy przesyłania plików. Zaleca się stosowanie odpowiedniego oprogramowania wykrywającego złośliwe pliki. Wszyscy powinniśmy stosować zasadę ograniczonego zaufania do tego, co mówią i za kogo podają się osoby do nas dzwoniące czy piszące. Wiele organizacji wydało swoje przewodniki po rekomendowanych najlepszych praktykach, które uwzględniają specyfikę pracy przedsiębiorstw z danej branży. Znajdziemy w nich też przykłady, czym może być naruszenie ochrony danych osobowych w procesach przetwarzania charakterystycznych dla branży.

Popraw bezpieczeństwo wszystkich informacji

Jeżeli w tym momencie widzisz tylko piętrzące się przed Tobą obowiązki i rosnące koszty, to mam dla Ciebie dwie dobre informacje. Po pierwsze wdrożenie technicznych zabezpieczeń czy nowych procedur nie musi być kosztowne. Większość znanych programów wspomagających prowadzenie firmy jest odpowiednio już przygotowana i nie musisz ich wymieniać. Także większość dostawców usług jest od początku gotowa ze swoimi produktami, by być w zgodzie z RODO. Jeżeli używasz usług Microsoft Office 365 czy Google G Suite to może nawet nie wiesz o wbudowanych w nich możliwościach ochrony i nadzoru.

Druga wiadomość jest dla Ciebie jeszcze lepsza. Jakiekolwiek zmiany nie wprowadzisz, to wszystko, co zrobisz, będzie chronić nie tylko przetwarzanie danych osobowych, ale wszystkie najcenniejsze informacje w Twojej firmie. Mogą to być przykładowo pliki z cennikami od producenta, którego Twoja firma jest dystrybutorem w Polsce, dokumenty serwisowe, plany handlowe czy marketingowe i inne. Zarówno te przechowywane w formie elektronicznej, jak i tradycyjnej. Dobrze wiesz, co jest dla Twojej firmy największym skarbem. Dlatego przestań patrzeć na RODO jak na zły obowiązek, a zacznij jak na szansę poprawy jej bezpieczeństwa.

Zgłoszenie naruszenia

Postępowanie gdy wykryjesz naruszenie ochrony danych osobowych powinno być jasną spisaną procedurą czynności, które należy wykonać krok po kroku. Jeżeli zatrudniasz parę osób, pamiętaj, by przypisać kto jest za wykonanie danej czynności odpowiedzialny, oraz kto będzie podejmował decyzje. Postaraj się, aby decyzyjne zawsze były co najmniej dwie osoby, na wypadek, gdyby jedna z nich była chora lub na urlopie. Jest to o bardzo ważne. Jeżeli naruszenie będzie musiało być zgłoszone do Urzędu Ochrony Danych Osobowych, to masz na to tylko 72 godziny od momentu jego wykrycia. Niezależnie od tego, każdy incydent musi być odnotowany w wewnętrznym rejestrze – możesz go prowadzić na przykład w dedykowanym arkuszu kalkulacyjnym czy dokumencie tekstowym.

Ponadto, w sytuacji, gdy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie takie nie będzie konieczne, jeżeli wdrożysz odpowiednie techniczne i organizacyjne środki ochrony i będą one stosowane. Ponadto musisz wdrożyć środki eliminujące prawdopodobieństwo wysokiego ryzyka. Od informowania poszkodowanych możesz też odstąpić, gdyby wymagałoby ono niewspółmiernie dużego wysiłku. Pamiętaj jednak, że każda z tych sytuacji to subiektywna ocena Twoja jako administratora, oraz kontrolera z UODO, jeżeli będzie on przyglądał się sprawie. Dlatego warto wszystko przemyśleć na spokojnie, a nie pod wpływem stresu związanego z naruszeniem. Procedurę zgłaszania incydentu znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.

ZEGARY

Napisz procedurę postępowania

Przykładowe postępowanie po wykryciu naruszenia może wyglądać następująco:

  1. Zebranie informacji o incydencie:
    • Co się stało, kiedy i gdzie?
    • Jak wykryto lub kto zgłosił naruszenie?
    • Jakie kategorie danych były przedmiotem incydentu?
    • Jaki jest zasięg incydentu, ilu jest potencjalnie poszkodowanych?
  2. Potwierdzenie wystąpienia incydentu przez drugiego pracownika, lub firmę zewnętrzną.
  3. Jakie środki ochrony danych osobowych wdrożono i czy były one rzeczywiście zastosowane.
  4. Analiza skali incydentu.
  5. Analiza, czy wystąpiło wysokie naruszenia praw lub wolności osób fizycznych.
  6. Odnotowanie incydentu w wewnętrznym rejestrze naruszeń.

Po przeprowadzonym postępowaniu należy podjąć decyzję co do poinformowania o incydencie UODO oraz osoby potencjalnie poszkodowane. Procedurę zgłaszania incydentu, jak i odpowiednie formularze, znajdziesz na stronie Urzędu. Ponadto w rejestrze naruszeń warto wpisać jakie przesłanki były brane pod uwagę przy podejmowaniu decyzji o zgłoszeniu incydentu lub zastosowaniu jednego z wyłączeń od tego obowiązku.

Przykłady naruszeń

Poniżej znajdziesz kilka przykładów incydentów oraz przesłanek, które mogą być wiążące do podjęcia decyzji o zgłoszeniu naruszenia do UODO, lub odstąpienia od tej czynności. Pamiętaj, by nie stosować ich bezkrytycznie – zawsze musisz samodzielnie dokonać oceny sytuacji.

Zgubienie lub kradzież laptopa

Kradzież lub zgubienie sprzętu to częste sytuacje. Odpowiednia ocena zależy od wdrożonych zabezpieczeń a także odpowiedniej edukacji osób.

  • Nie zgłaszamy, jeżeli laptop był wyłączony lub w stanie hibernacji oraz włączone było szyfrowanie wszystkich dysków znajdujących się w urządzeniu.
  • Zgłaszamy, jeżeli co najmniej jeden z dysków nie był zaszyfrowany lub w sytuacji, gdy komputer był uruchomiony lub w stanie uśpienia.

Zgubienie lub kradzież dysku przenośnego lub pamięci pendrive

  • Nie zgłaszamy, jeżeli dysk lub pendrive były w całości zaszyfrowane (nie tylko pojedyncze pliki)
  • Zgłaszamy, jeżeli dysk lub pendrive nie były w całości zaszyfrowane lub istnieją co do tego wątpliwości.

Pozostawiony otwarty sejf lub zamykana szafa z dokumentami osobowymi pracowników

  • Nie zgłaszamy, jeżeli pracownik o niedopatrzeniu się szybko zorientował i natychmiast wrócił i zamknął szafę, lub monitoring potwierdził, że nikt nie miał do niej i pomieszczenia dostępu.
  • Zgłaszamy, jeżeli istnieje prawdopodobieństwo, podejrzenie lub pewność, że ktoś miał dostęp do szafy lub nawet samego pomieszczenia.

Niewłaściwie zaadresowana poczta elektroniczna

  • Nie zgłaszamy, jeżeli z adresu jak i treści poczty nie wynika jednoznacznie kto jest odbiorcą (na przykład wysyłamy mail na alias pocztowy) i nie zwiera w treści żadnych danych osobowych
  • Zgłaszamy, gdy prawowity odbiorca, lub inne osoby są identyfikowalne

Aktywne konta pracowników, którzy już nie są zatrudnieni

Jakakolwiek utrata kontroli nad danymi jest już sama w sobie naruszeniem. W większych firmach zdarza się, że przez niedopatrzenie odchodzącemu pracownikowi nie zostanie zablokowany dostęp do służbowego konta lub poczty.

  • Nie zgłaszamy, jeżeli na podstawie logów z serwera potwierdzimy, że nikt nie miał dostępu do konta od chwili rozwiązania współpracy z pracownikiem
  • Zgłaszamy, gdy istnieje prawdopodobieństwo nieuprawnionego dostępu

Podanie danych przez telefon niezweryfikowanemu rozmówcy

Wyłudzenia przez telefon nie są niczym nowym i nadal są powszechne. Ktoś dzwoniący do księgowej może podawać się za pracownika ZUS i pytać o dane osobowe pracowników. Ważne jest odpowiednie szkolenie Twojej kadry oraz stosowanie zdroworozsądkowej zasady ograniczonego zaufania.

  • Nie zgłaszamy, jeżeli pracownik w porę zorientował się w zagrożeniu i oszacujemy ryzyko na podstawie udostępnionych w ten sposób danych na niskie.
  • Zgłaszamy, w każdym innym przypadku.

Niepoprawne usunięcie danych z nośników elektronicznych

Nie usunęliśmy odpowiednio danych z telefonu, tabletu czy komputera pracownika przed przekazaniem sprzętu innej osobie, oddaniem do serwisu lub odsprzedażą. Pamiętaj, że samo formatowanie dysku nie wystarcza, a niektóre nośniki wymagają fizycznego zniszczenia.

  • Nie zgłaszamy, gdy dane na nośniku były niekompletne lub zanonimizowane.
  • Zgłaszamy w każdym innym przypadku.

Wyrzucenie dokumentów na śmietnik

O sytuacji takiej mówimy nawet wtedy, gdy pracownik wyrzuci odręczne notatki do zwykłego kosza na śmieci w biurze, nie mówiąc już o wyrzucaniu całych segregatorów na śmietnik.

  • Nie zgłaszamy, gdy pracownik szybko poprawił swój błąd lub gdy mamy pewność (np. z zapisu monitoringu), że nikt nie miał do danych dostępu.
  • Zgłaszamy, gdy nie ma pewności co do tego czy ktoś miał dostęp do wyrzuconych danych lub potwierdzimy taki fakt.

 

Polecany artykuł: 5 pytań o pierwsze kroki w świecie RODO

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

5 mitów o RODO

5 mitów o RODO

5 mitów o RODO

Prowadzisz lub może zamierzasz prowadzić swoją własną jednoosobową działalność gospodarczą lub spółkę prawa handlowego? A może świadczysz tylko usługi na podstawie umowy-zlecenia czy umowy o dzieło? Zatem na pewno wiesz, że ciąży na Tobie nowy obowiązek zwany powszechnie „RODO”. Jednak, aby zweryfikować informacje na temat ochrony danych osobowych i racjonalnie ocenić sytuację koniecznie i poznać wymogi RODO dla małych firm zapoznaj sie z artykułem „5 mitów o RODO”. 

Zaraz, moment… czy aby na pewno nowy?

Wydawać by się mogło, że po kilku latach szum komunikacyjny powinien być już jasnym przekazem a popłoch przedsiębiorców opanowany, tymczasem nadal wiele osób boi się zagadnień związanych z danymi osobowymi, powierza ich obsługę zewnętrznym firmom czy kancelariom prawnym, lub po prostu ignoruje temat, uważając, że ich on nie dotyczy. Nie da się zacząć pisać o sposobach na wdrożenie RODO w firmie bez rozprawienia się z kilkoma mitami. Oto te moim zdaniem najważniejsze.

Mit pierwszy — RODO to kosztowna rewolucja

Ochrona danych osobowych nie jest czymś nowym. Przecież do 25 maja 2018 roku, kiedy to zaczęto stosować bezpośrednio zapisy ogólnego rozporządzenia o ochronie danych osobowych (tak zwyczajowo nazywa się interesujący Cię akt prawny Unii Europejskiej, potocznie też zwany RODO lub GDPR) nie istniała luka prawna – dane osobowe przez cały czas podlegały ochronie. W Polsce obowiązywała Ustawa o Ochronie Danych Osobowych z 1997 roku, regulacje sektorowe zawarte choćby w prawie telekomunikacyjnym czy aktach regulujących handel elektroniczny. Regulacje we wszystkich państwach europejskich były implementacją Dyrektywy Parlamentu Europejskiego kryjącej się pod numerem 95/46/EC.

Zatem skąd ten cały hałas, że RODO wywraca do góry nogami prowadzenie firmy? Nastąpiła spora zmiana prawna dająca obywatelom lepsze narzędzia ochrony ich danych osobowych. Prawa przysłowiowego Kowalskiego są spójne na obszarze całej Unii Europejskiej, tak samo obowiązki samych przedsiębiorców, organizacji pozarządowych czy organów administracji państwowej. Czy dla przedsiębiorcy nastąpiła rewolucja? Z prawnego punktu widzenia nie! Rewolucja nastąpiła w głowach i świadomości konsumentów, dzięki czemu nowe regulacje nie są martwe jak wiele paragrafów Ustawy z 1997 roku.

Pierwszy rok pokazał, że obywatele Unii Europejskiej chętnie korzystają ze swoich uprawnień, a organizacje pozarządowe aktywnie wykorzystują dane im narzędzia. Szum medialny sprawił też, że są oni bardziej świadomi swoich praw. A przedsiębiorcy? Jeżeli dotychczas ignorowali zarówno stare, jak i nowe regulacje prawne to dostosowanie firmy do wymagań RODO może być rewolucją, a zmiany kosztowne.

Jeszcze bardziej po kieszeni boleć będzie zaniechanie.

Mit drugi — RODO przeszkadza w prowadzeniu biznesu

RODO jest jedną z regulacji prawnych, do których przedsiębiorcy muszą się stosować. Jedną spośród wielu. Jeżeli potrafisz dostosować swój biznes do wymogów Prawa Pracy, do Ustawy o Podatku Dochodowym od Osób Prawnych, skomplikowanej Ustawy o Podatku od Towaru i Usług, czyli popularnie zwanej ustawy VAT-owskiej, to dlaczego o wiele prostsze RODO miałoby być dla Ciebie problemem? A gdybym Ci powiedział, że wdrożenie RODO pomoże usprawnić działanie Twojej firmy?

rodo1

Ochrona danych osobowych dotyczy każdego przedsiębiorcy. Takie same obowiązki ma prowadzący osiedlowy sklep z warzywami, jak i agencja marketingowa czy software house. Zmienia się jedynie to jakie dane podlegają przetwarzaniu (ochronie) oraz narzędzia, które będą do tego wykorzystywane.

W warzywniaku będą to zarówno dane dostawców, jak i chowany w szufladzie zeszyt z indywidualnymi zamówieniami klientów wraz z danymi kontaktowymi. Jeżeli prowadzisz biznes, którego elementy a może i całość oparte są o platformy internetowe to także przetwarzasz dane swoich klientów, lecz zapewne w strukturyzowanej formie bazy danych lub arkusza kalkulacyjnego.

W obu przypadkach, aby chronić te dane przedsiębiorca musi między innymi uzyskać zgodę na przetwarzanie danych, zabezpieczyć przetwarzane dane, stworzyć jasne zasady obiegu i przeszkolić pracowników. Teraz, proszę, spójrz na swoją firmę w szerszym aspekcie. Na pewno znajdziesz bez trudu kilka innych grup danych, które wymagają podobnej ochrony. Na przykład dane finansowe spółki, których upublicznienia nie chcesz, lub wręcz nie możesz udostępniać osobom nieuprawnionym.

Może największą wartością dla Twojej firmy stanowi dokumentacja skomplikowanego sprzętu, którego serwisowaniem się zajmujesz i zrobisz wszystko, by tylko uprawnione osoby miały do niej dostęp i tylko we wskazanym czasie. A może jest to kod aplikacji, którą tworzą zatrudnieni programiści czy konspekt oraz slajdy prezentacji, którą za kilka dni wygłosisz komercyjnie? Standardy służące usystematyzowaniu, zabezpieczeniu i monitorowaniu przetwarzania danych osobowych, zarówno od strony procedur, jak i wdrożenia odpowiednich rozwiązań teleinformatycznych, pomogą Ci chronić wszystkie cenne zbiory danych niezbędne do działania i rozwijania Twojej firmy.

Mit trzeci — „zrobię” to RODO i mam spokój (na zawsze)

Ochrona danych osobowych jest procesem, trwać będzie nieustannie tak długo, jak działa prowadzona przez nas firma, a nawet dłużej! Będzie się on zmieniał wraz z tym, jak zmieniać będzie się rozwijać się Twoje przedsiębiorstwo.

Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci). Na łamach RodoZgodny.pl wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Znajdziesz tu ważne lub ciekawe nowinkach związane z RODO, o których przedsiębiorca powinien wiedzieć.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Istotą RODO jest ochrona danych osobowych. Za każdym razem, gdy następuje zmiana w strukturze Twojej firmy, składzie osobowym, formach sprzedaży, marketingu, pozyskiwania danych itp. trzeba przyjrzeć się czy dokumentacja, procesy, jak i wiedza pracowników nie wymagają aktualizacji czy dodatkowej analizy ryzyka. RODO będziesz zajmował się cały czas, lecz dzięki odpowiedniemu podejściu i narzędziom nie będzie to dla Ciebie uciążliwość. Pamiętaj, że za wszelkie uchybienia odpowiadasz Ty jako właściciel.

Mit czwarty — aby spełniać wymogi RODO potrzebuję zatrudnić prawnika

Gdyby była to prawda to w całej Unii Europejskiej rzeczywistość prawnicza wyglądałaby tak:

  • Większość prawników zajmowałoby się RODO bo każda firma przecież musi skorzystać z usług prawnych by spełnić wymogi RODO – czysty zysk!
  • Niewielu prawników zajmowałoby się sprawami patentowymi, cywilnymi, rodzinno-opiekuńczymi bo wszyscy siedzieliby z nosem w RODO – problemy społeczne gwarantowane.

Dobrze wiesz, że tak się nie stało. Prawnicy zajmują się RODO, ale zajmują się też wszystkimi innymi aspektami prawa w biznesie i życiu prywatnym, gdzie ich pomoc jest niezbędna. A przedsiębiorcy są w stanie podołać spełnieniu wymogów prawnych związanych z ochroną danych osobowych.

Mali przedsiębiorcy muszą być trochę omnibusami – znać się na kodeksie cywilnym, znać się na prawie pracy, księgowości, informatyce, zarządzaniu, marketingu.. uff… lista może być długa. Muszą też znać się na RODO, nawet jeżeli nie są prawnikami. Na szczęście są w stanie sobie poradzić sami lub z niewielką pomocą prawną i informatyczną. Są jednak specyficzne obszary, w których pomoc prawnika jest przydatna, czasem niezbędna, na przykład w sytuacji, gdy przetwarzamy dane osobowe objęte szczególną ochroną (na przykład dane medyczne).

Większość przedsiębiorców jest w stanie sama spełnić obowiązki wynikające z RODO. Lecz nawet korzystając z usług prawnika wdrożyć odpowiednie zalecenia i wypełniać zobowiązania będą musieli samodzielnie.

Mit piąty — kupię „gotowca” i mam spokój

Z punktu widzenia konsumenta wydawać by się mogło, że RODO to przede wszystkim rozbudowane polityki prywatności i masa checkbox-ów ze zgodami przy każdym formularzu. Tak naprawdę to tylko wierzchołek góry lodowej. Ważny jest sposób, w jaki zasady przetwarzania wynikające z RODO zostaną wdrożone w przedsiębiorstwie. To nie regulaminy a ocena ryzyka i wdrożenie odpowiednich procedur czy mechanizmów bezpieczeństwa jest wypełnieniem RODO. Identyfikacja jakie dane są przetwarzane, w jakim celu oraz oszacowanie ryzyka dostępu do nich osób niepowołanych są pierwszymi krokami, które każdy przedsiębiorca musi zrobić, aby działać zgodnie z prawem.

Często właściciele firm wykonując tą pracę są zdziwieni, ile danych o osobach prywatnych zbierają czy na jak wielu urządzeniach trzymają ich kopię. Taka świadomość to dobry punkt wyjścia do przemyślenia, czy wszystkie te dane są potrzebne do zrealizowania zamówienia albo usługi oraz ograniczenia zbieranych danych czy ustalenia czasu, przez które te dane będą przetwarzane. Dopiero mając taką wiedzę możemy umieścić w regulaminach czy polityce prywatności odpowiednie zapisy spełniając obowiązek informacyjny. Ułatwi to też za projektowanie procesu realizacji żądań klienta na przykład dotyczących udostępnienia kopii przetwarzanych danych osobowych.

Polityka prywatności, choćby najlepiej napisana, jeżeli nie jest zaimplementowana w procesach biznesowych i systemach informatycznych firmy jest tylko zbiorem słów i nie uchroni Cię od kar w przypadku stwierdzenia naruszeń i wycieku danych. I zabierze Ci dużo czasu i nerwów gdy pojawi się konsument znający swoje prawa i z nich korzystający.

Co robić? Jak żyć?

Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci). Na łamach RodoZgodny.pl wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Znajdziesz tu ważne lub ciekawe nowinkach związane z RODO, o których przedsiębiorca powinien wiedzieć.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo