Struktura systemu ochrony danych osobowych

RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych zostało wprowadzone przez Parlament Europejski i Radę Europy w kwietniu 2016 roku. W Polsce obowiązuje oficjalnie od 25 maja 2018 roku. Aby dostosować się do wymagań nowego rozporządzenia, wszystkie firmy i organizacje zajmujące się w jakikolwiek sposób przetwarzaniem i zbieraniem danych osobowych musiały wdrożyć wewnętrzne systemy ochrony danych osobowych, dzięki którym utrzymałyby zgodność z RODO. Jakie wymogi stawia Rozporządzenie o Ochronie Danych Osobowych i jak powinna wyglądać struktura systemu wdrożonego w celu zapewnienia bezpieczeństwa danych w firmie?

Najważniejsze wymogi RODO

RODO zakłada, że administratorzy danych oraz organizacje je przetwarzające wezmą na siebie znacznie większą odpowiedzialność za to, co dzieje się z danymi osobowymi pod ich opieką. Wcześniej wielokrotnie zdarzały się wycieki danych, sprzedaż ich do innych organizacji czy problemy z usuwaniem danych osób, które cofnęły zgodę na ich udostępnienie. Wymienione wyżej problemy to tylko niektóre z kwestii, które RODO próbuje rozwiązywać. Rozporządzenie wprowadza między innymi:

  • Obowiązek bezpośredniej odpowiedzialności przetwarzającego dane, a więc np. firm dostarczających rozwiązania w chmurze czy firm hostingowych które co do zasady mają dostęp do danych pochodzących z innych organizacji.
  • Obowiązek zgłaszania naruszeń, a więc informowania osób których dane przechowujemy oraz odpowiednich organów nadzoru o pojawiających się naruszeniach bezpieczeństwa danych. Zgłoszenie takie należy wystosować w ciągu 72 godzin od wykrycia naruszenia lub natychmiast, jeśli ryzyko naruszenia prywatnych danych osoby jest bardzo wysokie.
  • Nowe prawa dla osób udostępniających swoje dane, w tym prawo do bycia zapomnianym (poprzez całkowite usunięcie ich danych osobowych z bazy danej firmy), prawo do przeniesienia danych oraz prawo do dostępu i wglądu w dane osobiste, które udostępniamy. Osoby mają też dzięki RODO prawo do zakazania marketingu bezpośredniego z wykorzystaniem ich danych osobowych.
  • Ograniczenie profilowania poprzez obowiązek otrzymania zgody na jego wykonanie, obowiązek informowania o profilowaniu oraz zaprzestania profilowania jeśli nie zostanie udzielona na nie zgoda.
  • Obowiązek informacyjny – RODO określa szczegółowo informacje, jakie muszą zostać zakomunikowane osobie przekazującej swoje dane osobowe przed udzieleniem przez nią zgody na ich przetwarzanie.

Wymienione punkty to tylko niektóre z założeń RODO mające na celu znacząco zwiększyć transparentność działania firm zbierających i przetwarzających dane osobowe oraz zwiększyć poczucie kontroli nad danymi, które jako osoby prywatne podajemy do wiadomości wielu firm m.in. podczas rejestracji na stronach www, zostawiania komentarzy na forach czy korzystania z formularzy kontaktu.

Jak wygląda struktura systemu ochrony danych osobowych?

Stworzenie systemu ochrony danych osobowych jest niezbędne do utrzymania pełnej zgodności z RODO i prowadzenia działań w sposób umożliwiający skuteczną ochronę danych. W związku z powyższym opracowany przez firmę system ochrony danych osobowych powinien opierać się o określone fundamenty realizujące założenia rozporządzenia. Jego struktura będzie zależna od potrzeb danej organizacji, ilości przetwarzanych danych oraz skali ryzyka związanego z ich przetwarzaniem i działalnością firmy. Ważne, by cały system ochrony danych osobowych opierał się na każdym szczeblu na analizie ryzyka, pełnym poszanowaniu praw osób fizycznych, legalności i bezpieczeństwie działań oraz rozliczalności – jeśli organizacja podejmuje się zadania pozyskiwania, przechowywania i przetwarzania danych, powinna być w pełni odpowiedzialna za nie i zapewnić możliwość rozliczenia jej z prowadzonych działań oraz ponoszonego ryzyka poprzez prowadzenie kompletnej dokumentacji.

Struktura ochrony danych osobowych
Przejdź audyt ochrony danych osobowych i sprawdź, czy Twoja firma spełnia wszystkie wymagania RODO.

Miejsce i sposób przechowywania danych powinno zostać jasno określone w ramach systemu ochrony danych osobowych, wraz z zakresem osób mających dostęp do takich danych. Szczegółowe informacje na ten temat pozwolą nie tylko ograniczyć liczbę miejsc przechowywania danych, z których te mogłyby zostać potencjalnie usunięte lub zniszczone, ale też zmniejszyć liczbę osób wykorzystujących dane niezgodnie z zawartą umową ich przetwarzania.

Wdrażanie RODO w firmie

Aby wdrożyć skuteczny system przechowywania, przetwarzania i zabezpieczania danych zgodny z wymogami RODO firma musi bardzo dokładnie przyjrzeć się całemu kontekstowi organizacji i dostrzec zagrożenia związane z przetwarzaniem danych na różnych jej szczeblach. Tylko tak, przy prowadzeniu ciągłej dokumentacji zdarzeń, bieżącemu weryfikowaniu problemów oraz pełnej transparentności działań możliwe będzie zapobieganie incydentom oraz zapewnienie skutecznej ochrony danych osobowych odpowiedniej do obowiązujących przepisów.