Wdrożenie wymagań RODO
Po pierwsze: dotyczy praktycznie wszystkich organizacji w UE (i nie tylko!).
Każda firma, urząd, jednostka przetwarza dane osobowe i „z punktu widzenia RODO” nie jest istotne czy są to dane osobowe pracowników, klientów czy kontrahentów. Nie jest istotne czy przetwarzamy ich 10 rekordów, czy 10 milionów. Jako organizacja powinniśmy nie tylko być zgodni z Rozporządzeniem ale i umieć to udowodnić.
Po drugie: koszty niespełnienia wymagań RODO są bardzo wysokie.
Finansowe kary administracyjne w zakresie niespełnienia wymagań RODO sięgają 20 milionów euro, bądź 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Po trzecie: spełnienie praw osób których dane przetwarzamy, może być trudne.
Ze względu na ilość praw jakie zyskały osoby, których dane przetwarzamy jest bardzo prawdopodobne, że będą one domagały się realizacji tych praw, np. prawo do bycia zapomnianym, czy wstrzymanie przetwarzania danych osobowych. Brak możliwości ich spełnienia (brak uregulowanych kwestii ochrony danych osobowych) niechybnie będzie wiązał się z kontrolą organu nadzorczego.
Po czwarte: nowe obowiązki wymagają wiedzy, doświadczenia i czasu.
Konieczność podpisywania dodatkowych umów powierzenia, spełnienie obowiązków informacyjnych i zarządzanie zgodami to tylko niektóre nowe obowiązki. Prowadzenie Rejestru Czynności Przetwarzania, analizy ryzyka, DPIA, może przyprawić o ból głowy. Poza tym brak wypełnienia wymagań RODO, np. spełnienia obowiązku informacyjnego (art. 13 RODO) jest widoczny dla klientów już podczas pierwszego kontaktu z organizacją, co w istotny sposób wpływa na jej postrzeganie.
Jak przystosujemy Cię do zgodności z RODO?
W pierwszej kolejności dokonamy inwentaryzacji danych osobowych połączonej z audytem zerowym – sprawdzimy gdzie, w jakim celu, na jakiej podstawie, jak zabezpieczane i jakie dane osobowe są przetwarzane w organizacji. Przeprowadzimy rozmowy z pracownikami, zajrzymy do dokumentów i systemów teleinformatycznych.
W kolejnym kroku konsultanci Blue Energy zweryfikują jakie zabezpieczenia techniczne obecnie funkcjonują w organizacji (audyt obszaru IT, organizacyjnego i bezpieczeństwa fizycznego) i pomogą je dostosować tak, by odpowiadały ryzykom występującym dla poszczególnych czynności przetwarzania.
Następnie zaprojektujemy i opiszemy (stworzymy dokumentację) wszystkie wymagane RODO procesy związane z zapewnieniem bezpieczeństwa danych osobowych, jak i realizacją praw osób, których przetwarzane dane dotyczą.
Ważnym etapem będzie zaimplementowanie stworzonej dokumentacji, w tym w szczególności klauzul informacyjnych w procesy realizowane przez organizację.
W konsekwencji przeprowadzamy szkolenia dla pracowników – doświadczeni trenerzy w łatwy i zrozumiały sposób przekażą pracownikom ich prawa i obowiązki wynikające z wymagań RODO i zatwierdzonej dokumentacji.
Należy pamiętać, że wszystkie wdrożone w związku z RODO zabezpieczenia mogą obniżyć wysokość kar nałożonych na organizację w związku z niespełnieniem wymagań Rozporządzenia.
W celu wdrożenia wymagań warto skorzystać z narzędzia BPM RODO, które wspiera utrzymanie Rejestru Czynności Przetwarzania, umów powierzenia, upoważnień do przetwarzania danych osobowych oraz automatyzuje realizację praw. Więcej szczegółów – BPM RODO oraz BPM Szkolenia i Testy
- Spełnienie wymagań prawnych
- Wzrost wiarygodności organizacji
- Poprawa bezpieczeństwa danych w organizacji
- Ochrona przed karami
- Wzrost świadomości pracowników w zakresie bezpieczeństwa danych osobowych.
- Efektywne zarządzanie ochrona danych
Powiązane artykuły na blogu
Urząd Ochrony Danych Osobowych we wrześniu br. nałożył kolejną administracyjną karę na podmiot, który nie wypełnił obowiązków, które wynikają wprost z RODO.
11 stycznia pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych. Kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.
28 lutego br. na stronie UODO pojawiła się informacja o administracyjnej karze pieniężnej. Została ona nałożona na Spółkę Fortum Marketing and Sales Polska. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 4 911 732 zł.
Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?
Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu. Kara nie jest spektakularna pod względem wysokości (10 000 zł) i została nałożona już w zeszłym roku, ale mimo wszystko warto na nią zwrócić uwagę.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.