Jak wdrożyć RODO i to na już
Dwa lata upłynęły zanim się spostrzegłeś.
No i teraz pozostaje szybkie wdrożenie Rozporządzenie o ochronie danych osobowych (dalej: RODO, GPDR)
Czy da się to zrobić w 2 miesiące?
A masz inne wyjście??
Ostateczne odliczanie
Wszystko zależy, jak dużą masz organizację.
Dla przykładu urzędy, czy banki nie mają szans przy ogromnej ilości przetwarzanych danych, klientów i procedur – wdrożyć nowych regulacji do 25 maja 2018r.
Jeśli jednak jesteś małym przedsiębiorcą, prowadzisz JDG, blogerem, vlogerem, twórcą internetowym …jest szansa dla ciebie.
Zacznij dzisiaj. Tak dzisiaj. Nie czekaj do jutra.
Teraz, jak czytasz ten artykuł weź długopis i kartkę papieru.
- Ustal, co po kolei musisz zrobić, aby wdrożyć RODO.
- Wyznacz konkretne terminy czynności (dodając 1 lub 2 dni na ewentualne opóźnienia).
- Trzymaj się wyznaczonego planu.
Ustalanie kolejnych czynności
Dokonanie audytu to tak naprawdę (niezależnie ile etapów będzie miało) sprawdzenie, jak jest, jak powinno być i spisanie rekomendacji, zaleceń co wymaga poprawy.
Przygotowania do wdrożenia zacznij od etapu zbierania informacji.
Sprawdź jak brzmią formularze udzielenia zgody na przetwarzanie danych, jak brzmią informacje przy checkboxach, jakie informacje udzielasz przy potwierdzeniu wpisu na listę subskrybentów, gdzie przechowujesz dane….
Jeśli wdrożyłeś dotychczasową ustawę o ochronie danych (i zgłosiłeś zbiory danych do GIODO) to sięgnij po dokumenty, które wówczas przygotowywałeś.
Wyznaczanie realnego terminu do realizacji
Ustalając termin kolejnych czynności, które podejmiesz staraj się ustalać, aby był to termin realny do zrealizowania.
Nie chodzi o to, abyś się sfrustrował, prawda?
Dokonaj analizy ryzyka
Co prawda nie każdy administrator jest zobowiązany do dokonania analizy ryzyka, ale zachęcam, abyś się tego podjął.
Dlaczego?
Jest to narzędzie, które zwiększa świadomość niebezpieczeństw czyhających na dane przedsiębiorców w internecie (i nie tylko tam).
Na przykład: wyciek danych, kradzież laptopa, zgubiony pendrive, zostawienie danych osobowych w widocznym miejscu w zasięgu osób nieupoważnionych…
Można mnożyć okoliczności naruszenia ochrony danych.
Dlatego ważne abyś przemyślał, jakie sytuacje są prawdopodobne w Twojej działalności.
Sprawdź, czy to, co deklarowałeś we wniosku do GIODO nadal jest aktualne, a może już część zabezpieczeń jest niepotrzebna i trzeba je zastąpić innymi.
Przeanalizuj klauzule informacyjne oraz klauzule zgody
RODO nie wymusza odnawianie zgód już wcześniej uzyskanych, jeśli zostały on pozyskane w sposób zgodny z przepisami.
Uaktualnij informacji o administratorze danych, to jakie dane zbierasz, w jakim celu, przez jaki czas będziesz przetwarzał dane, czy będzie profilował???
Przygotuj dokumentację
Na pewno będziesz potrzebował: Analizę ryzyko (to opisałam powyżej), Wykaz powierzeń podmiotom zewnętrznym, Rejestr czynności przetwarzania, Rejestr incydentów naruszeń oraz podjętych działań naprawczych, Instrukcję zarządzania systemami informatycznymi, Politykę bezpieczeństwa, Politykę prywatności, Umowę o powierzeniu przetwarzania danych…
Zrób podsumowanie analizy.
Co musisz poprawić, zmienić, jakie środki bezpieczeństwa wprowadzić, jaką dokumentację przygotować.
Teraz jest czas na wdrożenie rekomendacji z audytu zamknięcia.
Ufff, sporo tego, prawda?
Powyżej przedstawiłam uproszczoną formę audytu.
Nie u każdego się taki sprawdzi, gdyż jest to zależne od specyfiki i wielkości podmiotu. Jednak daje ogólny pogląd, na co zwrócić uwagę. Jeżeli nie wiesz, jak go przeprowadzić samodzielnie to koniecznie zapisz się na Darmowe Wyzwanie.
W dniach 12 -14 marca będę opowiadała o wdrażaniu RODO.
Photo by The Jopwell Collection on Unsplash
Znam takie osoby – nawet dwie – prowadzące blog http://www.EryniaWTrasie.eu
Poważnie zastanawiamy się nad rezygnacją z usługi generowania powiadomień o nowych wpisach bo z tego co się już doczytałem to RODO wymaga by:
1. w sposób jawny umieścić na blogu dane adresowe właściciela(-i) a nie życzę sobie tego – ze względu na ochronę moich danych osobowych (ustawową). Przy okazji byłoby mi dosyć trudno podać mój adres bo go od lat nie mam 😉
2. blog jest jak najbardziej prywatny bez żadnych funkcji komercyjnej (wiem, wiem, dla RODO to bez znaczenia) z ilością subskrybentów na poziomie 10 osób więc jedynie dla nich byłby to problem – nie dla nas.
3. jedynym identyfikatorem użytkownika jest adres e-mail (niestety niektóre w adresie mają imię i nazwisko) oraz nick – do decyzji naszego subskrybenta. Jak jest prowadzony proces subskrypcji? – proszę spróbować ją założyć 😉
4. przy pisaniu komentarzy wymagane jest wpisanie adresu e-mail (podobnie jak na Pani blogu) i nie jest on nigdzie uwidaczniany ani umieszczany w jakiejkolwiek bazie – z wyłączeniem spisu komentarzy.
5. formularz korespondencji typu „napisz do nas” jest chroniony antyspamowo przez wtyczkę https://www.vcita.com/?utm_source=viral i szczerze mówiąc nie wiem jak to działa. Dla mnie ważne, że nie ma spamu a ilość maili które przychodzą tą drogą jest na poziomie 3 na 10 lat 😉
6. hostingodawcą jest hekko.pl i do dzisiaj nie otrzymałem informacji na temat ich przystosowań do RODO
I proszę mi powiedzieć co w takiej sytuacji mam zrobić?
Ponieważ blog jest niekomercyjny nie widzę sensu wykładać nie wiadomo jakich pieniędzy na jego przystosowanie do idiotycznych przepisów – mogę co najwyżej dodać drobne wpisy typu „polityka prywatności”.
I mam wrażenie że wiele blogów niekomercyjnych staje przed podobnymi do moich problemami
Na każde pytanie chętnie odpowiem
Wszystkiego najlepszego