Logo Statlook - topbar

Nowy rozdział w zarządzaniu IT. Jeszcze większa kontrola, jeszcze mniej pracy!

Dowiedz się więcej
Wsparcie
Kontakt

Mechanizmy certyfikacji – nowość w przepisach

Mechanizm certyfikacji nie jest obowiązkiem nałożonym przez RODO; uzyskanie certyfikatu zgodności w żaden sposób nie wpływa na zakres obowiązków nałożonych przez rozporządzenie.

(więcej…)

Czym jest kodeks dobrych praktyk?

Zważywszy na swobodę w tworzeniu sformułowań zawartych w RODO, można zauważyć, że niektóre aspekty rozporządzenia budzą niejasności. Jednym z tych zagadnień jest istota tzw. „kodeksu dobrych praktyk” – w założeniu jest to forma dokumentu opisująca standardowe zachowania, które mają na celu ustalenie natury bezpiecznych operacji na danych osobowych.

(więcej…)

Kary za nieprzestrzeganie przepisów RODO

Niepokój wywołany karami finansowymi jest w gruncie rzeczy zrozumiały – ich wysokość udowadnia bowiem, że ustawodawcy poważnie traktują przestrzeganie nowych przepisów. Za zaniedbanie wdrożenia RODO w życie przewiduje się bowiem nawet do 20 mln Euro kary, zamiennie z 4% całkowitego światowego obrotu z poprzedniego roku obrotowego. Zastosowanie zawsze ma kara wyższa – co oznacza, że konsekwencje zaniedbania wdrażania RODO w firmie może skończyć się fatalnie.

Czy każda kara za nieprzestrzeganie RODO jest tak wysoka?

Przy dotychczasowym informacyjnym szumie wokół tego tematu, należy sobie zdać sprawę z jednej rzeczy – nie każde naruszenie polityki bezpieczeństwa danych osobowych doprowadzi do tak wysokiej kary. Przepisy zawarte w RODO wyraźnie zaznaczają istotę proporcjonalności kary do przewinienia; nakładają również na organy odpowiedzialne za jej nałożenie obowiązek wyszczególnienia, w których miejscach polityka bezpieczeństwa danych została naruszona.

Jakie zmiany w kontrolach UODO?

Procedura przeprowadzania postępowania kontrolnego w danej firmie jest opisana w już zaprezentowanej wersji NUODO. Zwykle trwać ona ma do miesiąca; rozpoczyna się okazaniem legitymacji lub upoważnieniem urzędnika ją przeprowadzającego, kończy zaś podpisaniem protokołu kontrolnego. Aby kontrola miała miejsce, musi zaistnieć jedna z trzech okoliczności:

  1. Prezes Urzędu ds. Ochrony Danych Osobowych (UODO) decyduje się na nią na podstawie własnych analiz;
  2. Do Urzędu wpływa informacja z zewnątrz o podejrzeniu nieprzestrzegania praktyk RODO;
  3. Tok już rozpoczętego dochodzenia ws. naruszenia przepisów NUODO wymaga rozpoczecia tej procedury.

Jakie są kompetencje organu kontrolnego?

Kontrola może zostać przeprowadzona tylko przez wylegitymowanych pracowników UODO. Zakres ich kompetencji jest szeroki – zalicza się do nich:

Uniknij kar – zainwestuj w dobre oprogramowanie!

Statlook jest oprogramowaniem, które zapewnia Ci przejrzysty wgląd w posiadaną dokumentację. Ewidencjonowanie danych jest zautomatyzowane – oznacza to, że oszczędzisz czas na zbędnych procedurach, jednocześnie zapewniając firmie standard zgodny z założeniami RODO.

Prowadzenie dokumentacji – smutny obowiązek czy faktyczna pomoc w pracy?

O Polityce Bezpieczeństwa Przetwarzania Danych Osobowych i Instrukcji Zarządzania Siecią Informatyczną słyszał każdy zainteresowany tematem przetwarzania danych – są to bowiem dokumenty, których posiadania wymagały dotychczasowe przepisy.

W założeniu obowiązek ten był uzasadniony – firma była zaopatrzona bowiem w treściwy wykaz praktyk potrzebnych do ochrony danych. W praktyce jednak, nie miało to pokrycia z rzeczywistością – skopiowanie zawartości dokumentów z Internetu i zignorowanie ich istnienia przychodziło stanowczo zbyt łatwo.

Co w zakresie dokumentacji mówi RODO?

Zmiany wprowadzane przez NUODO w tej materii charakteryzują się pragmatyką – podobnie jak w przypadku rejestru zbiorów danych, tak i tu kładzie się nacisk na wprowadzenie przepisów, a potem na opisaniu tego procesu.
Problemem, jaki może przysporzyć wdrożenie przepisów RODO w życie jest brak konkretnie wypunktowanych wymagań w zakresie prowadzenia dokumentacji – treść dokumentów ma być ściśle związana z oceną ryzyka dla poszczególnych administratorów danych. Zmiany dotkną również wymagań UODO w zakresie polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, a także ewidencji osób upoważnionych do przetwarzania. W tej materii RODO również nie stawia konkretnych wymagań – jedynym kryterium jest spełnienie założeń rozporządzenia. UODO i RODO łączy kilka klauzul dotyczących wymagań w zakresie prowadzenia dokumentacji. Są to:

  1. Klauzule zgody,
  2. Klauzule w zakresie udokumentowania umowy o powierzeniu przetwarzania danych,
  3. Klauzule informacyjne.

Pamiętając o fakcie, że każdy przedsiębiorca na terenie Unii Europejskiej jest objęty nowymi przepisami, warto przemyśleć, w jakim zakresie przetwarzasz dane i jak powinieneś sformułować dokumenty, aby uniknąć poważnych kar finansowych.

Statlook a dokumentacja – służymy pomocą!

System ewidencji dokumentacji, który oferuje statlook RODO, charakteryzuje się szerokim zakresem opcji. Od wglądu w rejestr dokumentów poprzez aktualizacje aż do udostępniania dokumentacji wewnątrz systemu – elastyczność charakteryzująca nasze rozwiązanie sprawia, że znajdzie ono zastosowanie w wielu przypadkach.

Zbiory danych – wielkie zmiany w RODO

W szeregu zmian wprowadzanych na polski grunt przez RODO, ta dotycząca rejestru zbiorów z pewnością należy do bardziej pozytywnych. Od maja 2018 roku przedsiębiorcy zostaną zwolnieni z obowiązku zgłaszania zbioru danych do GIODO.

Decyzja ta wynika przede wszystkim z praktycznego charakteru zapisów RODO. Wymagają one bowiem najpierw wprowadzenia przepisów w życie, a dopiero potem rejestrowania czynności przetwarzania danych – tak, aby wszystkie Twoje działania miały zastosowanie w rzeczywistości. W związku z tym, na przedsiębiorcy ciążą następujące obowiązki:

  1. Utworzenie wewnętrznej dokumentacji danych osobowych,
  2. Wdrożenie odpowiednich procedur ochrony danych osobowych,
  3. Prowadzenie rejestru czynności przetwarzania danych osobowych.

Co w zamian za wygodę? Rejestr zbiorów danych według nowych przepisów w zamian za komfort zwolnienia ze zgłaszania rejestru zbiorów, administrator danych jest zobowiązany do prowadzenia rejestru zbiorów danych. Jak wiele zmian wprowadzanych przez RODO w życie, tak i tak dąży do skonkretyzowania celów przetwarzania – w tym przypadku, administrator jest zobowiązany do ich wskazania w rejestrze. Poza tym, rejestr powinien zawierać:

  1. Imię i nazwisko/nazwę administratora,
  2. Dane kontaktowe administratora,
  3. Dane kontaktowe współadministratorów,
  4. Dane kontaktowe przedstawiciela na terenie UE (jeżeli dotyczy),
  5. Imię, nazwisko i dane kontaktowe IODO (jeżeli dotyczy).

Należy też zauważyć, że mimo przewidywanego zwolnienia od tego obowiązku instytucji zatrudniających mniej niż 250 osób, prowadzenie rejestru spada na instytucje, które:

Wynika z tego, że mimo przewidzianego wyjątku, prowadzenie rejestru będzie należało do obowiązków większości przedsiębiorców.

Statlook kontra RODO – jak możemy pomóc?

Odpowiednio zaprojektowane oprogramowanie wspiera wdrażanie RODO w każdym zakresie – również tym dotyczącym rutynowych działań wymaganych przez przepisy. Dlatego też statlook RODO, będący modułem programu statlook, jest wyposażony w narzędzie ułatwiające ewidencję zbiorów danych. Automatyzacja rejestracji zmian sprawia, że prowadzenie rejestru zbiorów staje się intuicyjne; każde działanie na danych jest przypisane do konkretnego pracownika, dzięki czemu unika się chaosu.

Kto jest objęty RODO?

Jest to o tyle istotne pytanie, że wielu średnich i mniejszych przedsiębiorców, także tych posiadających kontrahentów z zagranicy, trwa w błędnym przekonaniu, że RODO dotyczy banków i dużych spółek, które zajmują się obróbką danych osobowych na szeroką skalę.
Odpowiedź na to pytanie jest zgoła inna – RODO bowiem dotyczy każdego, kto na terenie Unii Europejskiej przetwarza dane osobowe w celach innych, niż prywatne.

Czym jest przetwarzanie danych?

Do pełnego pojęcia tego, kto podlega przepisom zawartym w RODO, warto zastanowić się nad tym, co rozumie się jako przetwarzanie danych. GDPR szczegółowo definiuje to pojęcie jako szeroko pojęte operacje (w tym: zbieranie, utrwalanie, organizowanie, adaptowanie, modyfikowanie, przeglądanie, wykorzystywanie, ujawnianie, przesyłanie lub niszczenie) nad danymi osobowymi, które stanowią część zbioru danych. Operacji tych można dokonywać w sposób zautomatyzowany, jak i niezautomatyzowany.
Do rozpoczęcia procesu przetwarzania należy mieć uzasadnione podstawy. Wiąże się z nim również szereg obowiązków nałożonych na przedsiębiorcę, między innymi prowadzenie rejestru zbioru.

Czy wszystko jest w rękach Unii?

RODO jest podstawą do interpretacji prawnej procesu przetwarzania danych osobowych na terenie całej Unii Europejskiej. Nie będzie już więcej potrzeby odwoływania się do przepisów danego państwa, aby być pewnym legalności swoich procesów przetwarzania; wszystko będzie zawarte w jednym, uniwersalnym dla każdego państwa dokumencie.
Nie oznacza to jednak, że pozbawiamy się suwerenności i samodzielności w ustalaniu przepisów prawnych. Każde państwo bowiem będzie posiadać własne organy nadzorcze. To znaczy, że organem, do którego referujemy, wdrażając przepisy, jest ten funkcjonujący w kraju, gdzie znajduje się baza organizacyjna firmy. W przypadku Polski jest to Ministerstwo Cyfryzacji, które 14 września br. opublikowało projekt nowej ustawy o ochronie danych osobowych (w skrócie NUODO).
Wnioskując, przetwarzanie danych odbywa się zarówno wewnątrz systemów informatycznych, jak i poza nimi, na terenie całej Unii Europejskiej. Warto więc zastanowić się nad zasadnością zainwestowania w oprogramowanie, które ułatwiłoby implementację procedur zawartych w RODO.

Jak możemy pomóc?

Rozwiązania oferowane przez system statlook są skierowane do klientów z terytorium objętego RODO. Stanowią one komplementarny moduł, który uzupełnia się wraz ze statlook Zasoby, statlook Helpdesk i statlook Monitoring. Nasz produkt cechuje się łatwością w adaptacji dla Twoich indywidualnych potrzeb. Dlatego też każdy z modułów jest dostępny jako samodzielny program w zależności od Twoich oczekiwań.