Aktualnie jesteś: Gazeta Podatkowa (strona główna)  »  Archiwum rocznikowe  »   Gazeta Podatkowa NR 27 (1484) z dn. 3.04.2018  »  Plan wprowadzenia RODO

A A A
Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018, strona 18
dział: Wskazówki dla przedsiębiorcy
Autor: Marta Stefanowicz - Wasilewska

Plan wprowadzenia RODO

Od 25 maja br. ochrona danych osobowych stanie się ciągłym procesem, który będzie musiał być prowadzony i monitorowany przez wszystkich administratorów danych. Do wejścia w życie przepisów unijnego rozporządzenia RODO nie zostało już dużo czasu, a z informacji GIODO wynika, że mali i średni przedsiębiorcy nie są przygotowani do wdrożenia w swoich jednostkach nowych obowiązków w zakresie ochrony danych osobowych. Przedstawiamy uproszczony plan wdrożenia RODO.

KROK 1

Ustalenie stanu ochrony danych osobowych w jednostce w oparciu o obowiązujące przepisy

Dokonując audytu otwarcia należy sprawdzić obecny stan realizacji obowiązków, tzn.:

  • czy powołano administratora bezpieczeństwa informacji, jeśli tak, to czy prowadzi on wewnętrzny rejestr przetwarzanych danych osobowych?
     
  • czy zbiory przetwarzanych danych osobowych zostały zgłoszone do rejestracji GIODO?
     
  • czy jednostka posiada odpowiednią dokumentację, tj. politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi oraz upoważnienia do przetwarzania danych osobowych?

KROK 2

Ustalenie zakresu przetwarzanych danych osobowych

Należy dokonać przeglądu zbiorów przetwarzanych danych, zlokalizować, w jakich zbiorach dane te się znajdują (np. dane osobowe pracowników, klientów, kontrahentów, dane księgowe, dane pacjentów, uczniów), w jaki sposób do tego zbioru trafiły, na jakiej podstawie prawnej są przetwarzane, komu są przekazywane (np. zewnętrznym firmom informatycznym, księgowości) oraz w jaki sposób są one zabezpieczane.

KROK 3

Przeprowadzenie analizy ryzyka

RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) wymaga od administratorów danych podejścia do kwestii przetwarzania danych opartego na ryzyku. Ogólną ocenę ryzyka w zakresie bezpieczeństwa przetwarzania informacji, w tym danych osobowych, należy przeprowadzić, biorąc pod uwagę potencjalne negatywne skutki (straty materialne i niematerialne) zarówno dla administratora, jak i osób, których dane dotyczą. Ocenę skutków dla ochrony danych przeprowadza się natomiast wtedy, gdy istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Dlatego też należy przeanalizować ryzyko, jakie wiąże się dla osób, których dane są przetwarzane, tzn. czy dane mogą zostać skradzione, zagubione. Trzeba określić, czy ryzyko to jest małe, czy wysokie, i wówczas wdrożyć odpowiednie do ryzyka środki i zabezpieczenia o charakterze organizacyjnym i technicznym. Przy czym ani RODO, ani przepisy polskiej ustawy o ochronie danych osobowych nie zawierają gotowych rozwiązań, jakie należy wdrożyć. Wybór środków i ich zastosowanie zależy od administratora danych. Co jednak ważne, RODO wprowadza zasadę rozliczalności, na mocy której administrator danych musi być w stanie udokumentować, w jaki sposób wypełnia swoje obowiązki w zakresie ochrony danych, np. w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Wskazówki dotyczące tego, jakie stosować zabezpieczenia, określono w art. 32 RODO. Te środki to:

  • pseudonimizacja i szyfrowanie danych osobowych,
     
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
     
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
     
  • regularne testowanie, mierzenie oraz ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

KROK 4

Przygotowanie się do spełniania obowiązków informacyjnych

Kwestie informowania o prawach osób, których dane są przetwarzane, RODO zmienia w znaczący sposób. Dlatego też może okazać się, że klauzule informacyjne trzeba przygotować na nowo lub uzupełnić o nowe wymagane informacje. Szczegółowy zakres tych informacji zawiera art. 13 RODO. W projekcie polskiej ustawy o ochronie danych osobowych znalazły się przepisy, które zdejmują niektóre obowiązki informacyjne z administratorów realizujących zadania publiczne.

KROK 5

Sprawdzenie, czy jednostka zapewni realizację wszystkich uprawnień przysługujących osobom, których dane przetwarza

Informacje, które będą w ramach klauzul informacyjnych przekazywane, będą musiały mieć oparcie w praktyce. To zaś oznacza, że administrator danych musi przygotować się do ich realizacji. RODO stanowi, że osoba, której dane są przetwarzane, musi mieć pełną kontrolę nad tym, co dzieje się z jej danymi. Dlatego też uznaje, że osoba, której dane dotyczą, musi mieć prawo do:

  • bycia informowanym o operacjach przetwarzania,
     
  • dostępu do danych,
     
  • sprostowania/uzupełnienia danych,
     
  • usunięcia danych (prawo do bycia zapomnianym),
     
  • ograniczenia przetwarzania,
     
  • przenoszenia danych,
     
  • sprzeciwu,
     
  • tego, by nie być profilowanym.

KROK 6

Sprawdzenie posiadanych zgód na przetwarzanie danych osobowych

GIODO wyraźnie stwierdził, że jeżeli podmiot obecnie przetwarza dane osobowe na podstawie zgody i spełnia w tym zakresie wszystkie wymagania, tzn. zgoda została udzielona dobrowolnie, a osoba ma możliwość odwołania jej w każdym czasie, wówczas zgody te mogą pozostać ważne, również po wejściu w życie przepisów RODO. Warunki wyrażenia zgody określa art. 7 RODO.

KROK 7

Rejestracja czynności przetwarzania

RODO nie wymaga rejestracji zbiorów przetwarzanych danych osobowych u krajowych organów nadzorczych (w Polsce obecnie jest to GIODO), za to wymaga od niektórych administratorów danych rejestrowania czynności przetwarzania. Obowiązek ten określony w art. 30 RODO dotyczy zasadniczo przedsiębiorców lub innych podmiotów, które zatrudniają powyżej 250 pracowników. Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (są to tzw. dane wrażliwe dotyczące np. zdrowia) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Oznacza to, że takie rejestry będą musiały prowadzić np. przychodnie czy przedszkola integracyjne. Nawet jeżeli zatrudniają mniej niż 250 osób, to przetwarzają dane wrażliwe m.in. o stanie zdrowia pacjentów czy dzieci.

KROK 8

Powołanie inspektora ochrony danych

Nie każdy administrator danych będzie musiał powołać inspektora ochrony danych, ale każdy może, gdyż taka osoba może znacząco ułatwić wdrożenie regulacji RODO. Jeżeli w jednostce powołany jest obecnie administrator bezpieczeństwa informacji, to on może pełnić funkcję IOD. Obowiązek powołania inspektora obciąża instytucje publiczne, ale też przedsiębiorców przetwarzających dane szczególnie na dużą skalę.

KROK 9

Zgłaszanie naruszeń ochrony danych

Administratorów danych osobowych będzie obciążał nowy obowiązek zgłaszania incydentów naruszenia ochrony danych, w sytuacji gdy naruszenie będzie skutkowało ryzykiem naruszenia praw i wolności osób, np. dojdzie do kradzieży tożsamości. Wówczas o takim zdarzeniu trzeba będzie informować Prezesa UODO w ciągu 72 godzin. W związku z tym należy wypracować procedury szybkiego zgłaszania tych incydentów.

Najpopularniejsze w dziale „Wskazówki dla przedsiębiorcy”

Klauzule informacyjne według RODO

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Dokumentacja przetwarzania danych osobowych od maja br.

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Profilowanie danych osobowych

Gazeta Podatkowa nr 30 (1487) z dnia 12.04.2018

Nowa instytucja pomocna dla firm - Rzecznik Małych i Średnich Przedsiębiorców

Gazeta Podatkowa nr 32 (1489) z dnia 19.04.2018

Jednorazowa amortyzacja

Gazeta Podatkowa nr 28 (1485) z dnia 5.04.2018

Opłata za użytkowanie klimatyzatorów i urządzeń chłodniczych

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Zakaz handlu w niedzielę

Gazeta Podatkowa nr 28 (1485) z dnia 5.04.2018

Inspektor może nagrywać czynności kontrolne

Gazeta Podatkowa nr 26 (1483) z dnia 29.03.2018

Wpływ ugody na przedawnienie roszczeń

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Wystawienie rachunku do umowy o dzieło

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Zakaz handlu w niedzielę a ustalenie przeważającego PKD

Gazeta Podatkowa nr 26 (1483) z dnia 29.03.2018

Refundacja składek dla niepełnosprawnych przedsiębiorców

Gazeta Podatkowa nr 26 (1483) z dnia 29.03.2018

Żądanie zwrotu wypłaconego odszkodowania

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Zajęcie wynagrodzenia przy umowie o pracę i zlecenia

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Opłaty środowiskowe w związku z prowadzeniem stacji benzynowej

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Dotkliwe kary za brak ważnego ubezpieczenia OC

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Przewozy na potrzeby własne

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Zakaz sprzedaży alkoholu w godzinach nocnych

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Zakaz fotografowania w sklepie jest niezgodny z prawem

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Brak informacji o wznowieniu działalności gospodarczej

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018

Kiedy przedsiębiorca może opłacać niższy podatek od nieruchomości?

Gazeta Podatkowa nr 30 (1487) z dnia 12.04.2018

Sprzedawca nie musi przyjąć zwrotu w sklepie stacjonarnym

Gazeta Podatkowa nr 25 (1482) z dnia 26.03.2018

Odmowa realizacji recepty przez farmaceutę

Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018

Pracownik na urlopie bezpłatnym w Wn-D

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Wydruk z karty też jest podstawą do reklamacji

Gazeta Podatkowa nr 28 (1485) z dnia 5.04.2018

Opłata recyklingowa pobierana w hurtowni

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Dotacja na podjęcie działalności gospodarczej a rozliczenie VAT

Gazeta Podatkowa nr 31 (1488) z dnia 16.04.2018

Zwrot podatku przy przewozach kombinowanych na terenie RP

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Środki na opracowanie nowego lub ulepszonego produktu

Gazeta Podatkowa nr 24 (1481) z dnia 22.03.2018

Termin na podjęcie pracy

Gazeta Podatkowa nr 27 (1484) z dnia 3.04.2018
PRZYDATNE LINKI

Portal Podatkowo-Księgowy

www.GOFIN.pl

www.Gofin.pl/PIT

www.Gofin.pl/Prawnik-Radzi

www.Gofin.pl/Rachunkowosc

www.Gofin.pl/Bilans

www.Gofin.pl/Podatki

www.Gofin.pl/Prawo-Pracy

www.Gofin.pl/Skladki-Zasilki

       
POMOCNIKI Księgowego

www.Asystent.Gofin.pl

www.Interpretacje.Gofin.pl

www.Przepisy.Gofin.pl

www.Terminy.Gofin.pl

www.Druki.Gofin.pl

www.Kalkulatory.Gofin.pl

www.PrzewodnikKadrowego.Gofin.pl

www.WideoPomocniki.Gofin.pl

www.Forum.Gofin.pl

www.Newslettery.Gofin.pl

www.PrzewodnikKsiegowego.Gofin.pl

www.Wskazniki.Gofin.pl

www.IndeksKsiegowan.Gofin.pl

www.Orzecznictwo.Gofin.pl

www.PytaniaCzytelnikow.Gofin.pl

www.WszystkoDlaKsiegowych.pl

 
       
Serwisy specjalistyczne

www.ZakladamyFirme.pl

www.VademecumKadrowego.pl

www.VademecumKsiegowego.pl

www.PoradnikKsiegowego.pl

www.EmeryturyiRenty.pl

www.SerwisBudzetowy.pl

www.PodatekDochodowy.pl

www.VademecumPodatnika.pl

www.KodeksPracy.pl

www.Czas-Pracy.pl

www.Zasilki.pl

www.UmowyCywilnoprawne.pl

www.RozliczeniaPodatkowe.pl

www.RozliczenieWynagrodzenia.pl

www.KalkulatoryPodatkowe.pl

www.PoradyPodatkowe.pl

www.RozliczenieDelegacji.pl

www.PodatekVAT.pl

www.UrlopyWychowawcze.pl

 
     
 
Sklep internetowy - sklep.gofin.pl

Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60