Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Zasada rozliczalności – egzamin przed PUODO

23-02-2018 Autor: Mariola Więckowska

Organizacje są zobligowane do wdrożenia i stosowania mechanizmów pozwalających wykazać zgodność z rodo. Rejestr czynności przetwarzania, polityka ochrony danych, klauzule informacyjne oraz zgody – to tylko niektóre z działań, które należy podjąć.

 

Poniższa lista kontrolna pozwoli zweryfikować, czy wszystkie obszary zostały odpowiednio zaadresowane oraz czy wdrożono procesy, pozwalające wykazać stosowanie podejścia opartego na ryzyku, ochrony danych w fazie projektowania, ocenę skutków dla ochrony danych oraz wdrożenie polityk i procedur ochrony danych.


1. Działania zarządcze

  • Zaangażowanie najwyższego kierownictwa w proces ochrony danych.
  • Wyznaczenie niezależnego IOD w roli osoby nadzorującej wypełnianie rodo oraz zapewnienie mu m.in. odpowiedniego usytuowania w strukturze organizacyjnej, niezbędnych środków do wypełniania zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  • Wyznaczenie osób odpowiedzialnych za ochronę danych osobowych we wszystkich jednostkach lub obszarach organizacji.
  • Informowanie wewnętrznych interesariuszy, w tym najwyższego kierownictwa, o ich obowiązkach i statusie zarządzania ochroną danych.
  • Przeprowadzanie analizy ryzyka prywatności oraz włączenie jej w proces zarządzania ryzykiem w organizacji.
  • Organizacja procesu szkoleń dla pracowników z zakresu ochrony danych osobowych.
  • Ustalenie wiodącego organu nadzorczego w przypadku transgranicznego przetwarzania danych.
     

2. Rejestr czynność przetwarzania (RCP) danych oraz mapa przepływu danych w  organizacji

  • Stworzenie i utrzymanie RCP zgodnie z wymogami rodo.
  • Przeprowadzenie audytu przygotowawczego i udokumentowanie w RCP, jakie dane osobowe są przetwarzane, jaka jest podstawa ich przetwarzania, komu są udostępniane i jak są zabezpieczane.
  • Utrzymanie mapy przepływu danych (np. pomiędzy systemami, procesami, krajami).
  • Wprowadzenie kategorii odbiorców, którym udostępniono dane.
  • Wprowadzanie informacji o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowych.
  • Weryfikowanie adekwatności zakresu danych do celu ich przetwarzania.
  • Weryfikowanie zasady legalności przetwarzania danych: w zależności od podstawy prawnej zbieranie zgód na przetwarzanie danych; weryfikowanie wykonywania umów na powierzenie przetwarzania danych; przetwarzanie danych na innej podstawie, np. interes publiczny, ustawa o rachunkowości.
  • Weryfikowanie czasu retencji danych w zależności od podstawy prawnej oraz stosowanych technicznych i organizacyjnych środków ochrony danych.
     

3. Polityka ochrony danych i  praktyki postępowania z  nimi

  • Wdrożenie i monitorowanie przestrzegania polityk i procedur przetwarzania danych, np. bezpieczeństwa i ochrony danych osobowych pracowników.
  • Monitorowanie przestrzegania rodo, wytycznych Grupy Roboczej art. 29 oraz sektorowych kodeksów postępowania dla ochrony danych.
  • Przeprowadzanie doraźnych sprawdzeń opartych na skargach, zapytaniach czy incydentach ochrony danych.
  • Jeśli konieczne, to zaangażowanie podmiotu zewnętrznego do przeprowadzenia audytu lub oceny.
  • Wdrożenie zasad przechowywania dokumentacji, potwierdzającej zgodność przetwarzania danych z rodo zgodnie z zasadą rozliczalności.
  • Monitorowanie zgodności z certyfikatami oraz sektorowymi kodeksami postępowania.
     

4. Domyślna ochrona danych

  • Wprowadzenie zasad dla zbierania oraz przetwarzania danych osobowych, a także danych szczególnych lub dzieci.
  • Wprowadzenie zasad dla procesu anonimizacji lub pseudonimizacji danych.
  • Wprowadzenie zasad dla automatycznego przetwarzania danych, w tym profilowania.
  • Wprowadzenie zasad wtórnego wykorzystania danych osobowych.
  • Wprowadzenie zasad zbierania zgód na przetwarzanie danych osobowych, w tym zgód dzieci.
  • Przestrzeganie czasu retencji poszczególnych kategorii danych oraz zapewnienie bezpiecznego ich niszczenia.
  • Wprowadzenie zasad dla wykorzystania unikalnych identyfikatorów, np. pliki cookies, IP, unikalny numer w systemie IT.
  • Wprowadzenie zasad dla przechowywania logów.
  • Wprowadzenie zasad dla ochrony danych osobowych w działaniach marketingu bezpośredniego, e-mail, reklamie internetowej, mobilnej lub telemarketingu.
  • Zapewnienie ochrony danych dla profilowania opartego na art. 21 rodo – prawo do sprzeciwu.
  • Zapewnienie ochrony danych osobowych dla procesów kadrowych, w tym monitorowania pracowników, BHP, oceny pracowników, współpracy ze związkiem zakładowym.
  • Zapewnienie ochrony danych osobowych dla korzystania z mediów społecznościowych.
  • Zapewnienie ochrony danych osobowych w polityce używania własnych urządzeń przez pracownika.
  • Zapewnienie ochrony danych osobowych w wykorzystaniu monitoringu wizyjnego.
  • Zapewnienie ochrony danych w wykorzystaniu urządzeń geolokacyjnych.
  • Wprowadzenie zasad bezpiecznego korzystania z firmowych kont poczty elektronicznej.
  • Wprowadzenie zasad i dokumentowanie przypadków ujawniania danych organom ścigania.
  • Wprowadzenie zasad korzystania z danych przetwarzanych do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych.
     

5. Klauzule informacyjne i  zgody

  • Wdrożenie polityki prywatności, która jasnym i prostym językiem wyjaśnia zasady przetwarzania danych osobowych.
  • Umieszczenie klauzul informacyjnych wszędzie tam, gdzie zbierane są dane osobowe, również w działaniach marketingowych (np. w wiadomościach elektronicznych, ulotkach oraz ofertach).
  • Informowanie o automatycznym przetwarzaniu danych, w tym profilowaniu (zasadach podejmowania decyzji, znaczeniu i konsekwencjach).
  • Zbieranie jednoznacznych zgód od podmiotów danych na przetwarzanie ich danych względem konkretnego celu.
  • Zapewnienie weryfikacji wieku dziecka oraz zbierania jednoznacznych zgód od ich rodziców lub opiekunów prawnych na przetwarzanie ich danych względem konkretnego celu.
  • Dokumentowanie wszelkich czynności pozyskiwania zgód: kto, kiedy, komu i w jakich okolicznościach udzielił zgody oraz jak został spełniony obowiązek informacyjny.
  • Poinformowanie pracowników o zasadach przetwarzania ich danych osobowych.

[...]

 

Autorka pracuje w Grupie Allegro jako ABI; pomaga wykorzystywać nowe technologie informatyczne w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.