Lista kontrolna RODO dla administratorów danych

A

by zrozumieć listę kontrolną RODO, warto również zapoznać się z terminologią i podstawową strukturą prawa. Informacje te można znaleźć w naszym serwisie – Kryptos72. Zalecamy rozmowę z prawnikiem specjalizującym się w przestrzeganiu RODO, który może zastosować prawo w określonych okolicznościach. Lista kontrolna RODO – o czym pamiętać, co wdrożyć oraz jak postępować?

Podstawa prawna i przejrzystość

a)Przeprowadź audyt informacji, aby ustalić, jakie informacje przetwarzasz i kto ma do nich dostęp. 

ad a) Organizacje zatrudniające co najmniej 250 pracowników lub przetwarzające dane o podwyższonym ryzyku są zobowiązane do prowadzenia aktualnej i szczegółowej listy swoich działań związanych z przetwarzaniem oraz muszą być przygotowane do przedstawienia tej listy organom regulacyjnym na żądanie. Najlepszym sposobem wykazania zgodności z RODO jest ocena wpływu na ochronę danych. Organizacje zatrudniające mniej niż 250 pracowników powinny również przeprowadzić ocenę, ponieważ ułatwi to spełnienie innych wymogów RODO. Na liście należy podać: cele przetwarzania, rodzaj przetwarzanych danych, kto ma do nich dostęp w Twojej organizacji, wszelkie strony trzecie (i gdzie się znajdują), które mają dostęp, co robisz, aby chroń dane (np. szyfrowanie) i kiedy planujesz je usunąć (jeśli to możliwe).

1. b) Posiadaj prawne uzasadnienie swoich działań związanych z przetwarzaniem danych.

ad b) Przetwarzanie danych jest niezgodne z RODO, chyba że można to uzasadnić jednym z sześciu warunków wymienionych w art. 6. Istnieją inne przepisy dotyczące dzieci i szczególnych kategorii danych osobowych w art. 7-11. Przejrzyj te przepisy, wybierz legalną podstawę przetwarzania i udokumentuj swoje uzasadnienie. Pamiętaj, że jeśli wybierzesz „zgodę” jako podstawę prawną, istnieją dodatkowe obowiązki, w tym zapewnienie osobom, których dane dotyczą, stałej możliwości cofnięcia zgody. Jeśli „uzasadnione interesy” stanowią podstawę prawną, musisz być w stanie wykazać, że przeprowadziłeś ocenę wpływu na prywatność.

1. c) Podaj jasne informacje na temat przetwarzania danych i uzasadnienie prawne w swojej polityce prywatności.

ad c) Musisz powiedzieć ludziom, że zbierasz ich dane i dlaczego (art. 12). Powinieneś wyjaśnić, w jaki sposób przetwarzane są dane, kto ma do nich dostęp i jak je zabezpieczasz. Informacje te powinny być zawarte w Twojej polityce prywatności i przekazywane osobom, których dane dotyczą, w momencie zbierania ich danych. Musi być przedstawiony „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka, w szczególności w przypadku wszelkich informacji adresowanych konkretnie do dziecka”. Lista kontrolna RODO – zadania do wykonania.

Lista kontrolna RODO

1. a) Zawsze uwzględniaj ochronę danych, od momentu rozpoczęcia opracowywania produktu do każdego przetwarzania danych.

ad a) Musisz przestrzegać zasad „ochrony danych już w fazie projektowania i domyślnej”, w tym wdrożenia „odpowiednich środków technicznych i organizacyjnych” w celu ochrony danych. Innymi słowy, ochrona danych jest czymś, co musisz teraz rozważyć, gdy robisz cokolwiek z danymi osobowymi innych osób. Musisz również upewnić się, że wszelkie przetwarzanie danych osobowych jest zgodne z zasadami ochrony danych opisanymi w art. 5. Środki techniczne obejmują szyfrowanie, a środki organizacyjne to między innymi ograniczenie ilości gromadzonych danych osobowych lub usuwanie danych, których już nie potrzebujesz. Chodzi o to, że musi to być coś, o czym ty i twoi pracownicy jesteście zawsze świadomi.

1. b) W miarę możliwości szyfruj, pseudonimizuj lub anonimizuj dane osobowe.

ad b) Większość narzędzi zwiększających wydajność wykorzystywanych przez firmy jest teraz dostępna z wbudowanym kompleksowym szyfrowaniem, w tym wiadomości e-mail, wiadomości, notatek i pamięci w chmurze. RODO wymaga, aby organizacje stosowały szyfrowanie lub pseudeonimizację, gdy tylko jest to możliwe. Zacznij od darmowego TRIAL – program do RODO.

1. c) Utwórz wewnętrzną politykę bezpieczeństwa dla członków zespołu i zwiększ świadomość na temat ochrony danych.

ad c) Nawet jeśli Twoje bezpieczeństwo techniczne jest silne, bezpieczeństwo operacyjne może być słabym ogniwem. Utwórz zasadę bezpieczeństwa, która zapewni członkom zespołu wiedzę na temat bezpieczeństwa danych. Powinien zawierać wskazówki dotyczące bezpieczeństwa poczty e-mail, haseł, uwierzytelniania dwuskładnikowego, szyfrowania urządzeń i sieci VPN. Pracownicy mający dostęp do danych osobowych i pracownicy nietechniczni powinni przejść dodatkowe szkolenie w zakresie wymagań RODO.

1. d) Dowiedz się, kiedy przeprowadzić ocenę wpływu na ochronę danych i przygotuj proces jej przeprowadzenia.

ad d) Ocena wpływu na ochronę danych (zwana także oceną wpływu na prywatność) jest sposobem, aby pomóc Ci zrozumieć, w jaki sposób Twój produkt lub usługa może zagrozić danym Twoim klientom, a także w jaki sposób zminimalizować to ryzyko. Biuro brytyjskiego komisarza ds. Informacji (ICO) ma na swojej stronie internetowej listę kontrolną oceny wpływu na ochronę danych. RODO wymaga, aby organizacje przeprowadzały tego rodzaju analizy, ilekroć planują wykorzystywać dane ludzi w taki sposób, że „może to spowodować wysokie ryzyko [ich] praw i wolności”. 

1. e) Przygotuj proces powiadamiania władz i osób, których dane dotyczą, w przypadku naruszenia danych.

ad e) W przypadku naruszenia danych i ujawnienia danych osobowych należy powiadomić organ nadzoru w swojej jurysdykcji w ciągu 72 godzin. Lista wielu organów nadzorczych państw członkowskich UE znajduje się tutaj. RODO nie określa, kogo powinieneś powiadomić, jeśli nie jesteś organizacją z siedzibą w UE. Dla osób w anglojęzycznych krajach spoza UE najłatwiej jest powiadomić Urząd Inspektora Ochrony Danych w Irlandii. Jesteś również zobowiązany do szybkiego informowania osób, których dane dotyczą, o naruszeniu danych, chyba że jest mało prawdopodobne, że naruszenie narazi ich na ryzyko (na przykład, jeśli skradzione dane zostaną zaszyfrowane).

„Ciągłe, a sumienne spełnianie obowiązków wymaga nie mniej wysiłku, niż czyny bohaterskie.” ~ Jean Jacques Rousseau

Odpowiedzialność i zarządzanie

1. a) Wyznacz osobę odpowiedzialną za zapewnienie zgodności z RODO w całej organizacji.

ad a) Kolejną częścią „domyślnej ochrony danych od samego początku” jest upewnienie się, że ktoś w Twojej organizacji jest odpowiedzialny za zgodność z RODO. Osoba ta powinna być uprawniona do oceny polityki ochrony danych i realizacji tych polityk.

1. b) Podpisz umowę o przetwarzaniu danych między organizacją a stronami trzecimi przetwarzającymi dane osobowe w Twoim imieniu.

ad b) Obejmuje to wszelkie usługi stron trzecich, które przetwarzają dane osobowe osób, których dane dotyczą, w tym oprogramowanie analityczne, usługi e-mail, serwery w chmurze itp. Zdecydowana większość usług ma na swoich stronach internetowych standardową umowę o przetwarzaniu danych, którą można przejrzeć. Określają prawa i obowiązki każdej ze stron w zakresie zgodności z RODO. Należy korzystać wyłącznie z usług stron trzecich, które są wiarygodne i mogą zapewnić wystarczające gwarancje ochrony danych oraz uzupełnić: lista kontrola RODO.

1. c) Jeśli Twoja organizacja znajduje się poza UE, wyznacz przedstawiciela w jednym z państw członkowskich UE.

ad c) Jeśli przetwarzasz dane dotyczące osób w jednym konkretnym państwie członkowskim, musisz wyznaczyć przedstawiciela w tym kraju, który może się komunikować w Twoim imieniu z organami ochrony danych. RODO i jego oficjalne dokumenty potwierdzające nie zawierają wskazówek dotyczących sytuacji, w których przetwarzanie dotyczy osób z UE w wielu państwach członkowskich. Do czasu interpretacji tego wymogu rozsądne może być wyznaczenie przedstawiciela w państwie członkowskim, które posługuje się twoim językiem. Niektóre organizacje, takie jak organy publiczne, nie są zobowiązane do wyznaczenia przedstawiciela w UE.

1. d) Wyznacz inspektora ochrony danych (jeśli to konieczne)

ad d) Istnieją trzy okoliczności, w których organizacje muszą mieć inspektora ochrony danych (DPO), ale nie jest to zły pomysł, nawet jeśli reguła nie dotyczy ciebie. Inspektor ochrony danych powinien być ekspertem w dziedzinie ochrony danych, którego zadaniem jest monitorowanie zgodności z RODO, ocena ryzyka związanego z ochroną danych, doradzanie w zakresie ocen wpływu na ochronę danych oraz współpraca z organami regulacyjnymi.

Prawa do prywatności – lista kontrolna RODO

1. a) Klienci mogą żądać i otrzymywać wszystkie informacje na ich temat.

ad a) Ludzie mają prawo zobaczyć, jakie dane osobowe masz na ich temat i jak z nich korzystasz. Mają także prawo wiedzieć, jak długo planujesz przechowywać ich informacje i powód ich przechowywania. Musisz przesłać im pierwszą kopię tych informacji za darmo, ale możesz naliczyć rozsądną opłatę za kolejne kopie. Upewnij się, że możesz zweryfikować tożsamość osoby żądającej danych. Powinieneś być w stanie spełnić te żądania w ciągu miesiąca.

1. b) Twoi klienci mogą poprawić lub zaktualizować niedokładne lub niekompletne informacje.

ad b) Dołóż wszelkich starań, aby dane były aktualne, wprowadzając proces jakości danych i ułatwiając klientom przeglądanie (art. 15) i aktualizowanie ich danych osobowych w celu zapewnienia dokładności i kompletności. Upewnij się, że możesz zweryfikować tożsamość osoby żądającej danych. Powinieneś być w stanie spełnić wnioski na podstawie art. 16 w ciągu miesiąca.

1. c) Klienci mogą poprosić o usunięcie ich danych osobowych.

ad c) Ludzie na ogół mają prawo poprosić Cię o usunięcie wszystkich danych osobowych, które o nich posiadasz, i musisz je spełnić w ciągu około miesiąca. Istnieje pięć powodów, dla których możesz odrzucić wniosek, na przykład korzystanie z wolności słowa lub przestrzeganie obowiązku prawnego. Musisz także spróbować zweryfikować tożsamość osoby składającej wniosek.

1. d) Klienci mogą poprosić Cię o zaprzestanie przetwarzania ich danych.

ad d) Osoby, których dane dotyczą, mogą zażądać ograniczenia lub zaprzestania przetwarzania swoich danych, jeśli mają zastosowanie określone podstawy, głównie w przypadku sporu o zgodność z prawem przetwarzania lub dokładność danych. Musisz spełnić ich prośbę w ciągu około miesiąca. Chociaż przetwarzanie jest ograniczone, nadal możesz przechowywać ich dane. Musisz powiadomić osobę, której dane dotyczą, zanim ponownie zaczniesz przetwarzać jej dane.

1. e) Klienci mogą otrzymać kopię swoich danych osobowych w formacie, który można łatwo przenieść do innej firmy.

ad e) Oznacza to, że powinieneś być w stanie przesłać ich dane osobowe w powszechnie czytelnym formacie (np. Arkusz kalkulacyjny) albo do nich, albo do wyznaczonej przez nich strony trzeciej. Może to wydawać się niesprawiedliwe z biznesowego punktu widzenia, ponieważ może być konieczne przekazanie danych klientów konkurentowi. Ale z punktu widzenia prywatności chodzi o to, że ludzie są właścicielami swoich danych, a nie ty.

1. f) Klienci mogą sprzeciwić się przetwarzaniu ich danych.

ad f) Jeśli przetwarzasz ich dane do celów marketingu bezpośredniego, musisz natychmiast przerwać ich przetwarzanie w tym celu. W przeciwnym razie możesz zaskarżyć ich sprzeciw, jeśli potrafisz wykazać „ważne uzasadnione podstawy”.

1. g) Jeśli podejmujesz decyzje dotyczące ludzi w oparciu o zautomatyzowane procesy, masz procedurę chroniącą ich prawa.

ad g) Niektóre rodzaje organizacji wykorzystują zautomatyzowane procesy, aby pomóc im podejmować decyzje dotyczące osób, które mają skutki prawne lub „podobnie znaczące”. Jeśli uważasz, że dotyczy to Ciebie, musisz ustanowić procedurę zapewniającą ochronę ich praw, wolności i uzasadnionych interesów. Musisz ułatwić ludziom prośbę o interwencję człowieka, zastanowienie się nad decyzjami i zakwestionowanie już podjętych decyzji.

Sukces!

Gratulacje! Jeśli sumiennie pracowałeś do końca. Lista kontrolna RODO w znacznym stopniu się uzupełniła. Ograniczyłeś narażenie na kary regulacyjne. Sprawdź, jak anonimizacja danych wpłynęła na karę z tytułu RODO.