Jak zacząć wdrożenie RODO?

Ważne pytanie, prawdopodobnie dopiero zaczynasz poznawać temat danych osobowych. Pokażę Ci, jak wybadać wszystkie procesy przetwarzania w Twojej firmie oraz zaproponuje ciekawe sposoby na szybszą i bardziej efektywną pracę. Wiesz już kogo i o co pytać? 

Wyznaczamy drogę

Na początek musimy zlokalizować wszystkie miejsca i procesy w jakich przetwarzane są dane. Jeśli tego nie wiesz, nie martw się. To bardzo częste, szczególnie jeśli twoja firma dopiero zaczyna interesować się ochroną danych osobowych. Jeśli już jakiś czas pracujesz w firmie, usiądź i postaraj się wypisać na kartce wszystkie obszary działania twojej firmy, w jakich mogą pojawiać się dane osobowe. Jeśli jesteś zupełnie nowy spróbuj skorzystać z pomocy kogoś, kto zna zakład od podszewki. Mały drogowskaz ułatwi ci sprawę, zwróć uwagę na :

  • Księgowość
  • Kadry
  • Rekrutację do firmy
  • Sprzedaż produktów
  • Zakup surowców/produktów (Pamiętaj, że w zgodzie z RODO, dane jednoosobowej działalności gospodarczej również powinny być traktowane jak dane osobowe)
  • Listy pracowników
  • Listy dostawców
  • Monitoring wizyjny
  • Systemy informatyczne
  • Kontrole dostępów do pomieszczeń

Jak pewnie zauważyliście, najwięcej danych osobowych w tym przypadku związanych jest z pracownikami oraz klientami. Tak zbudowana jest większość przedsiębiorstw. Przejdźmy do następnego etapu.

Gdzie przetwarzamy dane?

Udało ci się wypisać procesy przetwarzania. Teraz czas na lokalizację ich w przestrzeni. W przypadku dokumentacji papierowej zlokalizuj, gdzie dokumenty są przetrzymywane. Odwiedź pomieszczenia i sprawdź czy są odpowiednio zabezpieczone przed dostępem przez osoby niepowołane. Dobrą praktyką jest trzymanie dokumentów w szafkach zamykanych na klucz w pokojach z ograniczonym dostępem (klucz, karta dostępu).

Sytuacja może się nieco skomplikować w przypadku systemów IT. Tutaj ważna będzie lokalizacja serwerów. Jeśli macie je w swojej firmie – nie ma problemu. Kiedy serwery znajdują się poza siedzibą firmy, trzeba zadbać, aby serwery znajdowały się na terenie Unii Europejskiej, a najlepiej Polski. Ważne jest też zadbanie, aby serwery nie mogły być bez naszej wiedzy przeniesione poza granice wspólnoty.

Kto ma dostęp?

Wiemy już, gdzie są przetwarzane dane osobowe. Teraz musimy dowiedzieć się, kto ma do nich dostęp, w jaki sposób oraz co z nimi robi, komu przekazuje itp. W zasadzie rozwiązania są dwa:

  1. Odwiedzenie wszystkich „lokalizacji” w których przetwarzane są dane i osobiste wypytanie pracowników.
  2. Ankieta internetowa, np. w formie maila z odpowiednimi pytaniami. Proponuje również aplikacje webową LiveSurvey, jest bezpłatna i instalowana na serwerze firmy, będzie bezpiecznym rozwiązaniem do ankiet. Sam osobiście chętnie z niej korzystam. Interfejs jest dość prosty.

Polecam połączenie tych metod. Pytania, jakie powinniśmy zadać musimy ustalić sami, w zależności od struktury naszej firmy, ale możesz wykorzystać kilka z tych:

  1. Jakie dane przetwarzasz? (imię i nazwisko, adres, PESEL)
  2. Czy przetwarzasz dane wrażliwe? (kolor skóry, dane o skazaniach, wyznania religijne)
  3. Skąd pozyskujesz dane?
  4. W jakim celu przetwarzasz dane?
  5. Posiadasz komputer służbowy?
  6. Korzystasz z maila służbowego?
  7. Komu przekazujesz dane ?
  8. Jakich programów komputerowych używasz do pracy na danych?
  9. Czy zostałeś/łaś przeszkolony/a w zakresie ochrony danych osobowych?
  10. Czy wiesz gdzie możesz uzyskać informacje na temat ochrony danych osobowych w naszej firmie?

Pamiętaj, że to tylko przykłady i rzeczywiste pytania, jakie musisz zadać mogą się różnić. Zadbaj o to, żeby taka ankieta dotarła do wszystkich pracowników. Gwarantuję, zdziwisz się kto i w jakim celu może przetwarzać dane.

Jeśli korzystacie z rozwiązań komputerowych, musisz skontaktować się jeszcze z działem IT, wypytaj o zabezpieczenia komputerów, sieci, polityki haseł, szkolenia z cyberbezpieczeństwa dla pracowników itd. Na pewno przyda Ci się to przy sporządzaniu dokumentacji.

Brawo! Zakończyłeś swój pierwszy audyt. Nie martw się, jeśli nie udało Ci się dowiedzieć wszystkiego za pierwszym razem. Bardzo często będziesz musiał wrócić do konkretnych działów i dopytać o nurtujące kwestie albo wyjątki. A teraz do pracy, masz sporo materiału do przeanalizowania!

Jeśli chcesz się dowiedzieć co dalej, zapraszam do lektury kolejnych artykułów na blogu.

Masz jakieś uwagi, lub przemyślenia? Koniecznie napisz w komentarzu!

W razie pytań zachęcam do kontaktu, nieważne czy masz jakieś pytania, chcesz się spotkać, czy po prostu blog Ci w czymś pomógł, pisz do mnie na maila: maciej.grabowski@op.pl, na 100% odpowiem!

Napisane posty 24

Zerknij na dyskusje o :

  1. Nie zgadzam się, że „w zgodzie z RODO, dane jednoosobowej działalności gospodarczej również powinny być traktowane jak dane osobowe”. Dane wpisane i dostępne za pośrednictwem CEIDG są jawne i upublicznione, więc nie są danymi, chronionymi przez RODO. Nawet przetwarzanie danych wrażliwych jest możliwe bez zgody danej osoby, jeżeli „przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą” (art. 9 ust. 2 lit. e RODO).

    1. Komisja Europejska wydała oświadczenie w tej sprawie “jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.”

  2. Czy tak jest jak napisałam ponizej ?

    RODO dotyczy osób fizycznych, w tym również tych prowadzących działalność gospodarczą. Nie dotyczy osób prawnych.
    Dane osobowe to dane osoby fizycznej. Jeśli firma zawiera takie dane (np. w wypadku jednoosobowej działalności gospodarczej) to przetwarzamy dane osobowe. Jeśli firma jest firmą spółki z o.o.(lub innej osoby prawnej), to nie. Fakt powszechnej dostępności danych nie ma tu znaczenia.

Odpowiedz na „MarekAnuluj pisanie odpowiedzi

Twój adres email nie zostanie opublikowany.

Polecane artykuły

Tutaj napisz, czego szukasz... Jeśli chcesz zakończyć, kliknij ESC

Do góry