Wdrożenie RODO w firmie

Wdrożenie RODO, GDPR. Zgodność z RODO.

Kontekst wdrożenia RODO a ocena unijnych ram ochrony danych

Wdrożenie RODO jest jednym z najważniejszych elementów Compliance w każdej organizacji. Głównym i nadrzędnym celem obecnych ram prawnych w zakresie ochrony danych jest zapewnienie wysokiego poziomu ochrony danych wszystkim osobom fizycznym w UE. Dyrektywa ma również na celu osiągnięcie równoważnego poziomu ochrony danych we wszystkich państwach członkowskich, aby zapewnić swobodny przepływ informacji na rynku wewnętrznym.

Audyt-RODO-wdrożenie-rodo-rozporządzenie Wdrożenie RODO w firmie

Obecnie istnieją nowe wyzwania dla ochrony danych osobowych, związane z rozwojem technologicznym i globalizacją. W szczególności rozwój Internetu znacznie ułatwił i zwiększył skalę gromadzenia i wymiany danych, ponad granicami geograficznymi i wirtualnymi. W rezultacie dane osobowe mogą być obecnie przetwarzane łatwiej i na bezprecedensową skalę zarówno przez przedsiębiorstwa prywatne, jak i organy publiczne, co zwiększa zagrożenia dla praw osób fizycznych i podważa ich zdolność do zachowania kontroli nad własnymi danymi.

Szybki rozwój nowych technologii i globalizacja jeszcze bardziej zaostrzają ten problem. W tabeli poniżej przedstawiamy cele szczegółowe i operacyjne wdrożenia RODO

Cele szczegółowe i operacyjne wdrożenia RODO

Cele ogólne wdrożenia RODO

Cele szczegółowe

Cele operacyjne wdrożenia RODO

1. Wzmocnienie wymiaru ochrony danych związanego z rynkiem wewnętrznym.

1.1.  Harmonizacja i wyjaśnienie zasad i procedur ochrony danych w UE w celu stworzenia równych warunków konkurencji.

  Zapewnienie możliwości jednolitego stosowania ram ochrony danych w całej UE.

Umożliwienie elastycznego dostosowania się do szybkiego rozwoju technologicznego, przy jednoczesnym zachowaniu neutralności technologicznej.

Zapewnienie administratorom danych pewności prawnej.

Zajęcie się kwestią globalizacji oraz uproszczenie i wyjaśnienie warunków transferów międzynarodowych.

1.2.  Zapewnienie spójnego egzekwowania zasad ochrony danych.

Ustanowienie "punktu kompleksowej obsługi" dla administratorów danych w UE.

Zapewnienie większych uprawnień i odpowiedniego poziomu zasobów (dla organów ochrony danych) na potrzeby egzekwowania i kontroli.

Opracowanie wiążących procedur współpracy i skutecznej wzajemnej pomocy między organami ochrony danych.

Racjonalizacja obecnego systemu zarządzania w celu zapewnienia bardziej spójnego egzekwowania przepisów.

1.3.  Ograniczenie biurokracji

Ograniczenie/usunięcie zbędnych formalności, takich jak obowiązki notyfikacyjne administratorów danych (z wyjątkiem przetwarzania obarczonego ryzykiem).

Uproszczenie formalności związanych z przelewami międzynarodowymi.

2. Zwiększenie skuteczności podstawowego prawa do ochrony danych.

2.1. Zapewnienie, że osoby fizyczne mają kontrolę nad swoimi danymi osobowymi i ufają środowisku cyfrowemu

Zwiększenie przejrzystości przetwarzania danych w stosunku do osób fizycznych, w tym w przypadku naruszenia danych.

Wzmocnienie i rozszerzenie praw osób fizycznych (dostęp, sprostowanie, usunięcie ("prawo do bycia zapomnianym"), wycofanie ("możliwość przenoszenia danych"), minimalizacja danych, znacząca zgoda).

Zapewnienie bardziej skutecznych środków zaradczych i sankcji.

Uprawnienie stowarzyszeń do działania w imieniu osób, których dane dotyczą.

2.2. Zapewnienie, że osoby fizyczne pozostają chronione, w tym w przypadku, gdy ich dane są przetwarzane za granicą.

Wyjaśnienie zakresu stosowania prawa UE do zagranicznych administratorów danych zapewnienie punktów odniesienia dla oceny ochrony zapewnianej przez państwa trzecie danym z UE.

2.3. Wzmocnienie odpowiedzialności osób przetwarzających dane osobowe.

Zapewnienie mechanizmów rozliczalności dla administratorów danych (uwzględnienie ochrony danych w fazie projektowania, ocena skutków ochrony danych w przypadku ryzykownego przetwarzania itp.).

2. Ustanowienie kompleksowych unijnych ram ochrony danych oraz zwiększenie spójności i zgodności unijnych przepisów dotyczących ochrony danych, w tym w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych.

3.1. Zapewnienie, że prawa osób fizycznych do ochrony danych są zagwarantowane w tym obszarze. 3.2 Zwiększenie zaufania i ułatwienie współpracy policyjnej i sądowej w sprawach karnych.

– Stosowanie ogólnych zasad ochrony danych do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych.
– Uwzględnienie specyfiki ochrony danych w tych dziedzinach.
– Zmniejszenie braków i niespójności, w szczególności poprzez objęcie krajowych czynności przetwarzania.
– Zapewnienie kompetencji Trybunału Sprawiedliwości i Komisji.
– Rozszerzenie doradczej roli grupy roboczej 29

 

Wdrożenie RODO a audyt ochrony danych osobowych

I. ORGANIZACJA SYSTEMU OCHRONY DANYCH OSOBOWYCH

I.1

Polityka w zakresie ochrony DO (procedury przetwarzania DO)

I.2

Wyznaczenie ADO

I.3

Szkolenia pracowników

I.4

Upoważnienie do przetwarzania DO

I.5

Współadministrowanie DO

I.6

Podmioty przetwarzające

I.8

Umocowanie podmiotów przetwarzających

I.9

Nadzór nad umowami przetwarzania DO

I.10

Umowy o przetwarzanie DO

I.11

Przekazywanie do państwa trzeciego lub organizacji międzynarodowej

II. PRAWO DO PRZETWARZANIA DANYCH OSOBOWYCH

II.1

Podstawa prawna przetwarzania DO

II.2

Identyfikacja celów przetwarzania DO

II.3

Zgoda na przetwarzanie DO

II.4

Spełnienie warunków przetwarzania DO

II.5

Zaprzestanie przetwarzania DO

III. REALIZACJA PRAW OSOBY, KTÓREJ DANE DOTYCZĄ

III.1

Procedura udzielania informacji osobom, których dane dotyczą DO

III.2

Obowiązki informacyjne podczas pozyskiwania DO od osób, których dane dotyczą (klauzula informacyjna)

III.3

Obowiązki informacyjne podczas pozyskiwania DO w inny sposób niż bezpośrednio od osób, których dane dotyczą (klauzula informacyjna)

III.4

Obowiązki informacyjne wobec osób, których dane były przetwarzane przed wejściem w życie RODO

III.5

Obowiązki informacyjne w przypadku zmiany celu przetwarzania DO.

III.6

Prawo dostępu do DO

III.7

Prawo do sprostowania i usuwania danych

III.8

Prawo do ograniczenia przetwarzania

III.9

Prawo do przenoszenia danych

III.10

Prawo sprzeciwu wobec przetwarzania danych w zakresie profilowania oraz marketingu bezpośredniego

III.11

Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowany przetwarzaniu, w tym profilowaniu

III.12

Przygotowanie DO do realizacji praw osób, których te dane dotyczą

IV. INSPEKTOR OCHRONY DANYCH

IV.1

Powołanie IOD

IV.2

Kompetencje IOD

IV.3

Zasoby IOD

IV.4

Niezależność IOD

IV.5

Dostępność IOD

IV.6

Warunki do realizacji zadań IOD

IV.5

Ocena regulacji wewnętrznych w zakresie ochrony DO przez IOD

V. REJESTROWANIE CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

V.1

Identyfikacja DO i zakresu ich przetwarzania w jednostce

V.2

Rejestr czynności przetwarzania DO

V.3

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO albo przez podmiot przetwarzający

VI. OCENA SKUTKÓW PRZETWARZANIA DANYCH OSOBOWYCH

VI.1

Zarządzanie ryzykiem dla ochrony DO

VI.2

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

VI.3

Identyfikacja istotnego ryzyka dla ochrony DO

VI.4

Ocena skutków przetwarzania dla ochrony DO

VI.5

Zakres oceny skutków przetwarzania dla ochrony DO

VI.6

Zapewnienie udziału IOD w ocenie skutków przetwarzania dla ochrony DO

VI.7

Uprzednie konsultacje

VII. NARUSZENIE OCHRONY DANYCH OSOBOWYCH

VII.1

Podmioty właściwe w zakresie postępowania z naruszeniami ochrony DO

VII.2

Procedura postępowania z naruszeniami ochrony DO

VII.3

Rejestr naruszeń ochrony DO

VII.4

Zawiadomienia o naruszeniu ochrony DO

VIII.

CYBERBEZPIECZEŃSTWO

VIII.1

Analiza ryzyka i polityka bezpieczeństwa systemów informatycznych

VIII.2

Postępowanie w przypadku incydentu

VIII.3

Ciągłość działania i zarządzanie kryzysowe

VIII.4

Bezpieczeństwo łańcucha dostaw

VIII.5

Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych

VIII.6

Polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni

VIII.7

Stosowanie kryptografii i szyfrowania

IX.

Ustawiczne szkolenia i podnoszenie świadomości pracowników i kadry zarządzającej

 

Wdrożenie RODO a cyberbezpieczeństwo

Każda organizacja powinna wykorzystać wszystkie możliwości, jakie daje epoka cyfrowa, a także wzmocnić swoje zdolności przemysłowe i innowacyjne, w granicach bezpieczeństwa i norm etycznych. W europejskiej strategii w zakresie danych wskazano cztery filary – ochronę danych, prawa podstawowe, bezpieczeństwo i cyberbezpieczeństwo – jako podstawowe warunki wstępne istnienia społeczeństwa posiadającego mocną pozycję dzięki korzystaniu z danych.

Na podstawie opracowań i dostępnych publikacji przedstawiamy 9 najważniejszych wyzwań w zakresie zarządzania ryzykiem i zagrożeniami cybernetycznymi na 2022 rok. W okresie sprawozdawczym (od kwietnia 2020 r. do lipca 2021 r.) do najważniejszych zidentyfikowanych zagrożeń należą:

1. Ransomware;
2. Malware (złośliwe oprogramowanie);
3. Cryptojacking;
4. Zagrożenia związane z pocztą elektroniczną;
5. Zagrożenia dla danych;
6. Zagrożenia dla dostępności i integralności;
7. Disinformation – misinformation;
8. Zagrożenia inne niż złośliwe;
9. Ataki na łańcuch dostaw.

<body data-rsssl=1> </p> <p>Strona stosuje ramki, ale przeglądarka ich nie obsługuje.</p> <p> </body>

Środki zarządzania ryzykiem w cyberprzestrzeni

Podmioty gospodarcze powinny wprowadzać odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. Uwzględniając najnowszy stan wiedzy, środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka. Środki obejmują przynajmniej:

a) analizę ryzyka i politykę bezpieczeństwa systemów informatycznych;

b) postępowanie w przypadku incydentu (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);

c) ciągłość działania i zarządzanie kryzysowe;

d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa;

e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;

f) polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni;

g) stosowanie kryptografii i szyfrowania.

© ℗ Wszystkie prawa zastrzeżone