RODO / GDPR
RODO (ang. GDPR General Data Protection Regulation) to popularny skrót określający rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. W skrócie jest to koncepcją na ochronę danych osobowych w całej Unii Europejskiej.
Wśród nowości w stosunku do UODO wskazać należy rejestry czynności przetwarzania oraz rejestr wszystkich czynności przetwarzania. Większy nacisk położono na cele przetwarzania oraz adekwatność przetwarzanych danych. RODO wzmacnia rolę Administratora Bezpieczeństwa Informacji (ABI), który zdaje się być odpowiedzialny również za szkolenia osób przetwarzających dane osobowe i w nowej nomenklaturze nazywany jest Inspektorem Ochrony Danych.
Rozporządzenie weszło w życie 25 maja 2018 roku. Do tego czasu Administratorzy Danych Osobowych (ADO) zobligowani byli do dostosowania procedur ochrony danych osobowych do nowej sytuacji prawnej. Zobligowani karą grzywny, która ma być skutecznym mechanizmem odstraszającym - stawka została podbita przynajmniej 430 razy a sposób jej nakładania maksymalnie uproszczony.
W tym artykule zebrane są wymogi jakie przed Administratorem Danych Osobowych (ADO) stawia RODO ujęte z perspektywy Platformy TechneSystem.
Platforma TechneSystem oferuje narzędzia wspomagające organizację systemu ochrony danych osobowych przede wszystkim w module panel ADO. Jest on dostępny w publicznej chmurze, w której każdy Klient ma własną prywatną dedykowaną sobie część. Panel ADO został tam połączony z różnymi kursami dotyczącymi ochrony danych osobowych. Jest to najprostszy i najtańszy sposób skorzystania z możliwości panelu (Platforma rodo.cafe). Podmioty zajmujące się komercyjnie organizacją ochroną danych osobowych (IOD do wynajęcia) oraz większe organizacje, zainteresowane wyłącznie organizacją ochrony danych osobowych, powinny zainteresować się konfiguracją platformy dedykowaną podmiotom świadczącym komercyjnie usługi w zakresie organizacji ochrony danych osobowych (ABI toolbox). Podmiotom zainteresowanym szerszym wykorzystaniem możliwości platformy polecamy nasz portal korporacyjny.
Uzasadnienie organizacji oraz szersze rozwinięcie dostępne w kursie ochrony danych osobowych dla osób upoważnionych do przetwarzania.
Obowiązki ADO wobec siebie:
obowiązek | uwagi |
organizacja systemu przetwarzania danych osobowych | System Zarządzania Bezpieczeństwem Informacji to powiązane procesy wymagające ustalenia i stałej pielęgnacji. Efektem ich działania jest bezpieczeństwo informacji danych, w szczególności danych osobowych co jest przedmiotem troski RODO |
ewentualne powołanie IOD |
art 37 Platforma rodo.cafe umożliwia prowadzenie rejestru IOD oraz wydruk powołania i odwołania |
ewentualne zawarcie umów ze współadministratorami |
art 26 Platforma rodo.cafe pozwala ewidencjonować umowy ze współadministratorami |
ewentualne powołanie przedstawiciela |
art 27 Platforma rodo.cafe pozwala ewidencjonować umowy w tym zakresie |
ewentualne zawarcie umów z podmiotami, którym powierzono dane do przetwarzania |
art 28 Platforma rodo.cafe pozwala ewidencjonować umowy, rejestrować skany podpisanych dokumentów a nawet drukować umowy na podstawie ewidencji oraz zamieszczonych wzorów |
upoważnienie pracowników |
art 29 Platforma rodo.cafe pozwala prowadzić rejestr upoważnień w obrębie definiowalnych przez Klienta typów upoważnień. Umożliwia wydruk upoważnienia oraz jego odwołania. Upoważnienie może zawierać blok oświadczeń osoby upoważnianej. System może kontrolować odbycie szkolenia przez osobę upoważnianą na podstawie szkoleń odbytych w rodo.cafe. ABI toolbox (platforma dedykowana jednemu Klientowi) umożliwia wnioskowanie o upoważnienie przez kierownika |
dbałość o jakość danych | art. 5 ust. 1 lit. d) |
dbałość o bezpieczeństwo danych czyli opracowanie organizacyjnych oraz technicznych systemów zabezpieczeń |
art. 5 ust. 1 lit. f) Platforma rodo.cafe oferuje repozytorium na wersjonowane dokumenty (polityki, instrukcje. ABI toolbox daje narzędzia do zarządzania projektem wdrożenia oraz |
zarządzanie incydentami |
art 33 ust. 5 Platforma rodo.cafe pozwala prowadzić ewidencję naruszeń. Ewidencja incydentów w ograniczonym zakresie we współpracy z Techne |
Wobec osoby, której dane przetwarzamy:
obowiązek |
uwagi |
ewentualna ocena skutków |
art. 35 Wspierane w wersji ABI Toolbox. Na cafe.rodo w ograniczonym zakresie we współpracy z Techne |
obowiązek informacyjny |
art. 13 i art 14. Wspierane w wersji ABI Toolbox |
obowiązek udostępnienia danych |
art. 15 Wspierane w wersji ABI Toolbox |
obowiązek sprostowania |
art. 16 rodo.cafe pozwala ewidencjonować żądania osób, których dane są przetwarzane jako zapisy w prywatnej bazie wiedzy Klienta. ABI toolbox daje narzędzia do samoobsługi użytkowników w zakresie realizacji ich praw. Operator systemu może rejestrować żądania osób, które nie są użytkownikami jako odrębne sprawy |
obowiązek ograniczenia przetwarzania |
art 18 rodo.cafe pozwala ewidencjonować żądania osób, których dane są przetwarzane jako zapisy w prywatnej bazie wiedzy Klienta. ABI toolbox daje narzędzia do samoobsługi użytkowników w zakresie realizacji ich praw. Operator systemu może rejestrować żądania osób, które nie są użytkownikami jako odrębne sprawy |
obowiązek uwzględnienia sprzeciwu |
art. 21 rodo.cafe pozwala ewidencjonować żądania osób, których dane są przetwarzane jako zapisy w prywatnej bazie wiedzy Klienta. ABI toolbox daje narzędzia do samoobsługi użytkowników w zakresie realizacji ich praw. Operator systemu może rejestrować żądania osób, które nie są użytkownikami jako odrębne sprawy |
obowiązek usunięcia danych |
art. 17 rodo.cafe pozwala ewidencjonować żądania osób, których dane są przetwarzane jako zapisy w prywatnej bazie wiedzy Klienta. ABI toolbox daje narzędzia do samoobsługi użytkowników w zakresie realizacji ich praw. Operator systemu może rejestrować żądania osób, które nie są użytkownikami jako odrębne sprawy |
ewentualny obowiązek eksportu i importu danych | art. 20 |
obowiązek powiadamiania o reakcji i zmianach |
art 12 ABI toolbox daje narzędzia umożliwiające kontrolę korespondencji z osobą, której dane sa przetwarzane. |
obowiązek powiadamiania o naruszeniu | art 34 |
obowiązek powiadamiania o zmianach podmiotów, którym udostępniliśmy dane |
art 19 rodo.cafe pozwala prowadzić ewidencje udostępnień |
Wobec organu nadzorczego:
obowiązek | uwagi |
ewentualne pozyskanie zezwolenia |
art. 36 ust. 5 ABI toolbox daje narzędzia umożliwiające kontrolę korespondencji |
ewentualne uprzednie konsultacje |
art. 36 ABI toolbox daje narzędzia umożliwiające kontrolę korespondencji |
zawiadomienie o naruszeniu |
art. 33 rodo.cafe pozwala prowadzić ewidencję naruszeń |
współpraca w trakcie postępowań |
art. 31 rodo.cafe stanowi samodokumentujące się repozytorium informacji - pomaga to realizować wymóg z art 5 ust 2. |
rejestr czynności przetwarzania |
art. 30 ust. 1 Platforma rodo.cafe generuje rejestr automatycznie. |
rejestr wszystkich kategorii przetwarzania (o ile jesteśmy processorem) |
art. 30 ust. 2 Platforma rodo.cafe generuje rejestr automatycznie. |