PL | EN

Problemy i wyzwania

Chcę przetwarzać dane osobowe zgodnie z wymaganiami RODO

Zgodnie z przyjętym przez Unię Europejską rozporządzeniem o nazwie Ogólne Rozporządzenie o Ochronie Danych Osobowych – RODO (ang. GDPR – General Data Protection Regulation) od maja 2018 zaczną funkcjonować nowe przepisy dotyczące ochrony danych osobowych.

przepisy obowiązują każdą firmę, która przetwarza dane osób: zarówno największe podmioty, ale także mały-średni biznes, m.in. gabinety lekarskie, firmy szkoleniowe, agencje HR oraz firmy marketingowe.
przepisy nie określają sposobu postępowania, ale cel jakim jest ochrona Zastosowane systemy ochrony powinny zapewniać poziom bezpieczeństwa adekwatny do wymagań oraz ryzyka „risk based approach”, dawać gwarancję, że ochrona przetwarzanych danych jest utrzymywana na jak najwyższym poziomie.
wszystkie procesy biznesowe już na etapie ich planowania powinny brać pod uwagę ochronę danych osobowych (privacy by design), przewidywać ewentualne problemy i posiadać wbudowane mechanizmy, które je ograniczają.
każda firma przetwarzająca dane osobowe musi uzyskać zgodę klienta (za pomocą systemu opt-in, czyli świadomej decyzji o udostępnieniu informacji o sobie), na gromadzenie i przetwarzanie danych osobowych. Każda osoba fizyczna powinna mieć prawo do sprostowania swoich danych osobowych, prawo do „bycia zapomnianym” oraz prawo do przenoszenia danych.
organizacje, które staną się ofiarami naruszeń prywatności danych muszą zgłosić do organów nadzoru incydent w ciągu maksymalnie 72 godzin. Przekazane informacje będą musiały zawierać opis naruszenia oraz opis środków, które zostaną podjęte w celu rozwiązania problemu związanego z wyciekiem. W niektórych przypadkach o naruszeniu ochrony danych osobowych należy również powiadomić osoby, których dane dotyczą.

rozporządzenie przewiduje, że kary za naruszenia dla naruszających nowe przepisy mogą wynieść nawet 4% rocznego światowego obrotu danej firmy lub do 20 mln Euro.

Eksperci IMMUSEC pomogą uzyskać zgodność z wymaganiami RODO: wykonają audyt zgodności, zaprojektują rozwiązanie a w przypadku wycieku danych osobowych ograniczą jego skutki. Nasze wsparcie obejmuje wszystkie aspekty działania firmy: organizację, technologię i aspekty prawne.

10 kroków do uzyskania zgodności z RODO/GDPR

Ocena zgodności

1. Inwentaryzacja danych jakie zbiory posiada klient, ocena ich istotności i wrażliwości, gdzie je przechowuje, kto ma do nich dostęp, po co i w jaki sposób przetwarza

2. Analiza ryzyka związanego z przetwarzaniem danych od strony technicznej oraz prawnej

3. Ocena stanu obecnego przegląd stosowanych zabezpieczeń: w systemach IT, w umowach z podwykonawcami, analiza klauzul z klientami

4. Zalecenie jak adekwatnie do potrzeb dostosować system przetwarzania danych od strony technicznej oraz prawnej

Wdrożenie

5. Plan zapewnienia zgodności: zaplanowanie działań dostosowujących w obszarze procedur i standardów, procesów, organizacji oraz technologii

6. Wdrożenie i integracja: przygotowanie polityki prywatności, zaprojektowanie architektury rozwiązania technicznego, przygotowanie procedur dotyczących realizacji praw osób, których dane dotyczą, edycja klauzul oraz zgód dla klientów, przygotowanie wzoru umów z podwykonawcami, przygotowanie dokumentacji zgłoszenia incydentu bezpieczeństwa, wdrożenie zmian w systemach IT

7. Monitorowanie incydentów, detekcja i interpretacja incydentów bezpieczeństwa

Zarządzanie operacyjne

8. Ograniczenie skutków incydentów, przygotowanie komunikacji do klientów, notyfikacji do organów nadzoru, zabezpieczenie i naprawa środowiska IT, ochrona prawna

9. Zapewnienie ciągłej zgodności, monitorowanie działania systemu przetwarzania danych, wdrażanie niezbędnych korekt, utrzymanie poziomu bezpieczeństwa i zgodności z RODO

10. Podnoszenie świadomości, szkolenie i angażowanie pracowników jak dbać o bezpieczeństwo

Jak uzyskać RODOodporność w 10 krokach.