RODO – nowe przepisy o ochronie danych osobowych
Dodane przez michalsierpowski dnia Maj 13 2018 18:40:24

Począwszy od 25 maja 2018 roku wejdzie w życie nowe rozporządzenie o ochronie danych osobowych dotyczące przepisów RODO.

Obowiązek  RODO obejmuje wszystkie typy spółek — od osób prowadzących samodzielnie działalność gospodarczą przez małe firmy po korporacje. Jednym z najważniejszych problemów będzie dostosowanie do nowych regulacji elektronicznego obiegu dokumentów (EOD) w firmie.

Pierwszym krokiem w wyborze rozwiązania do obiegu dokumentów jest ocena i przeanalizowanie rodzajów ryzyka, jakie występują w branży i w samej firmie. Dokonując tego wyboru, warto pamiętać, że na żądanie instytucji i urzędów nadzorujących wykonanie RODO będzie trzeba wykazać, że dane rozwiązanie zostało dobrane pod kątem zgodności z zasadami przetwarzania danych.

Następnym etapem jest sprawdzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz ich aktualizacja. Przedsiębiorcy będą musieli wskazać środki bezpieczeństwa i procedury bezpiecznego przetwarzania danych, w tym również działań, jakie muszą być podjęte na wypadek ich wycieku.

W polityce bezpieczeństwa przygotowanej przez firmę muszą znaleźć się wykazy zabezpieczeń fizycznych i technicznych, określenie, gdzie dokładnie przetwarzane są dane, oraz spis programów, jakie używane są do ich przetwarzania. Drugim elementem jest instrukcja. To praktyczny spis procedur bezpieczeństwa stosowanych w firmie, dotyczący typów nadawanych uprawnień, uwierzytelniania, autoryzacji oraz stosowania i rozwoju narzędzi programistycznych. Oba te dokumenty to podstawa przy wyborze nowego dostawcy systemu elektronicznego obiegu dokumentów — zwłaszcza jeśli taki system ma być rozwiązaniem opracowanym od podstaw przez zewnętrznego dostawcę.

Następnym krokiem jest przeszkolenie wszystkich pracowników zajmujących się przetwarzaniem danych osobowych.

Podmiot przetwarzający dane na zlecenie np. biuro rachunkowe powinien zawrzeć z administratorem danych tzw umowę powierzenia w której zostaną określone zasady przetwarzania danych. (upoważnienie do przetwarzania danych osobowych). Zgoda może być wyrażona w dowolnej formie.


Rozszerzona zawartość newsa
Począwszy od 25 maja 2018 roku wejdzie w życie nowe rozporządzenie o ochronie danych osobowych dotyczące przepisów RODO.

Obowiązek RODO obejmuje wszystkie typy spółek — od osób prowadzących samodzielnie działalność gospodarczą przez małe firmy po korporacje. Jednym z najważniejszych problemów będzie dostosowanie do nowych regulacji elektronicznego obiegu dokumentów (EOD) w firmie.

Pierwszym krokiem w wyborze rozwiązania do obiegu dokumentów jest ocena i przeanalizowanie rodzajów ryzyka, jakie występują w branży i w samej firmie. Dokonując tego wyboru, warto pamiętać, że na żądanie instytucji i urzędów nadzorujących wykonanie RODO będzie trzeba wykazać, że dane rozwiązanie zostało dobrane pod kątem zgodności z zasadami przetwarzania danych.

Następnym etapem jest sprawdzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz ich aktualizacja. Przedsiębiorcy będą musieli wskazać środki bezpieczeństwa i procedury bezpiecznego przetwarzania danych, w tym również działań, jakie muszą być podjęte na wypadek ich wycieku.

W przypadku elektronicznego obiegu dokumentów e-mail może być uznany za narzędzie niewystarczająco chroniące dane wrażliwe, jako że jest słabo zabezpieczany. Konieczne może więc stać się korzystanie z dysków z podwójnym poziomem szyfrowania.

W polityce bezpieczeństwa przygotowanej przez firmę muszą znaleźć się wykazy zabezpieczeń fizycznych i technicznych, określenie, gdzie dokładnie przetwarzane są dane, oraz spis programów, jakie używane są do ich przetwarzania. Drugim elementem jest instrukcja. To praktyczny spis procedur bezpieczeństwa stosowanych w firmie, dotyczący typów nadawanych uprawnień, uwierzytelniania, autoryzacji oraz stosowania i rozwoju narzędzi programistycznych. Oba te dokumenty to podstawa przy wyborze nowego dostawcy systemu elektronicznego obiegu dokumentów — zwłaszcza jeśli taki system ma być rozwiązaniem opracowanym od podstaw przez zewnętrznego dostawcę.

Ważne, aby instrukcje postępowania w przypadku zagrożeń, jakimi są wycieki danych czy ataki hakerskie, znajdowały się nie tylko u administratora, ale by zostały rozpowszechnione w całej firmie jako dokumenty wewnętrzne. W firmie powinny być uregulowane zagadnienia dotyczące tego, w jaki sposób firmowa poczta trafia na prywatne smartfony pracowników, jak prywatne urządzenia są przyłączane do firmowej sieci i jaka jest polityka dotycząca wydruków — aby poufne dokumenty były zabezpieczone, a nie dostępne dla niepowołanych osób. Obecnie nie ma na rynku systemu EOD na tyle kompleksowego, że umożliwiłby on wywiązanie się od razu ze wszystkich obowiązków dotyczących RODO.

Następnym krokiem po dostosowaniu systemów IT do wymagań unijnych lub wdrożeniu nowego systemu, który spełnia te kryteria — oraz przygotowaniu jednolitej dokumentacji dla EOD — jest przeszkolenie wszystkich pracowników zajmujących się przetwarzaniem danych osobowych.

Podmiot przetwarzający dane na zlecenie np. biuro rachunkowe powinien zawrzeć z administratorem danych tzw umowę powierzenia w której zostaną określone zasady przetwarzania danych. (upoważnienie do przetwarzania danych osobowych). Zgoda może być wyrażona w dowolnej formie.

Rejestr czynności przetwarzania danych osobowych jest elementem dokumentacji ochrony danych. Może być prowadzony w formie pisemnej bądź w wersji elektronicznej, ale ten obowiązek generalnie dotyczy firm powyżej 250 osób. RODO dla dużych firm nakłada również prawny obowiązek informowania o incydentach bezpieczeństwa dotyczących danych osobowych. (np zgubienie nośnika z danymi). Informuje się PUODO w ciągu 72 godzin od naruszenia.