Raport Wdrożenia RODO

1. Działania zarządcze w organizacji

Stan aktualnyWdrożono

Działanie

Zaangażowanie Zarządu i wyższego kierownictwa w proces ochrony danych osobowych – kontakt z Zarządem, raportowanie, przekazywanie cyklicznych informacji o stanie stosowania RODO i pojawiających się m.in. nowych wytycznych, wskazówkach Google i dobrych praktykach.

Wyznaczenie niezależnego Inspektora Ochrony Danych w roli osoby nadzorującej.

Powołanie Zespołu Inspektora Ochrony Danych.

Przypisanie odpowiedzialności za ochronę danych osobowych w poszczególnych komórkach organizacyjnych w całej organizacji.

Przeprowadzanie oceny ryzyka naruszeń praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

Stosowanie regulacji dotyczących ochrony danych osobowych, w tym wymogów RODO.

2. Inwentaryzacja danych osobowych, prowadzenie rejestru czynności przetwarzania oraz mapa przepływu danych w organizacji

Stan aktualnyWdrożono

Działanie

Prowadzenie rejestru czynności przetwarzania danych (jako administrator) i rejestru kategorii czynności przetwarzania (jako podmiot przetwarzający).

Przypisanie poszczególnym kategoriom danych osobowych w ramach procesów wskazanych w rejestrze czynności przetwarzania podstaw prawnych przetwarzania danych osobowych na podstawie art. 6 oraz 9 RODO.

Wprowadzenie klasyfikacji danych osobowych (np. dane kontaktowe, dane identyfikacyjne, dane finansowe).

Zarządzanie schematami przepływów danych (np. pomiędzy systemami CRM, ERP, chmurą AWS).

Zarządzanie umowami w transgranicznym transferze danych (np. Standardowe Klauzule Umowne).

Zapewnianie przetwarzania zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – na podstawie art. 5 ust. 1 lit. a RODO.

Zapewnianie zbierania danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami – na podstawie art. 5 ust. 1 lit. b RODO.

Weryfikacja adekwatności przetwarzania danych w zależności od celu przetwarzania danych – na podstawie art. 5 ust. 1 lit. c RODO.

Zapewnianie, aby dane osobowe były prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane – na podstawie art. 5 ust. 1 lit. d RODO.

Zapewnianie, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres 5 lat nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane – na podstawie art. 5 ust. 1 lit. e RODO.

Zapewnianie, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych – na podstawie art. 5 ust. 1 lit. f RODO.

Przetwarzanie danych osobowych na podstawie zgody na przetwarzanie – wskaż przypadki, w których się to odbywa.

Prowadzenie rejestru umów powierzenia przetwarzania danych osobowych lub innych aneksów dokumentujących powierzenie przetwarzania danych osobowych.

3. Wdrożenie zasad ochrony danych osobowych wewnątrz organizacji

Stan aktualnyWdrożono

Działanie

Monitorowanie przestrzegania polityk ochrony danych oraz innych wdrożonych procedur.

Monitorowanie przestrzegania kodeksu postępowania dla ochrony danych obowiązujących w organizacji (jeżeli ma zastosowanie).

Monitorowanie zasady udokumentowania podstawy prawnej uprawniającej do przetwarzania danych osobowych.

4. Oddziaływanie systemu ochrony danych na działania organizacji

Stan aktualnyWdrożono

Działanie

Monitorowanie stosowanych zasad przetwarzania danych osobowych.

Monitorowanie i weryfikacja skuteczności stosowanych procesów anonimizacji lub pseudonimizacji danych.

Monitorowanie zasad automatycznego lub częściowego profilowania podmiotu danych i wpływu na niego.

Monitorowanie procesu zbierania zgód na przetwarzanie danych.

Zarządzanie procesem bezpiecznego niszczenia danych osobowych.

Ochrona prywatności w procesach przetwarzaniu danych osobowych wykorzystujących pliki cookies i inne techniki śledzenia zachowań w witrynie internetowej.

Włączenie ochrony danych osobowych w zasady dotyczące przechowywania dokumentacji pracowniczej.

Włączenie ochrony danych osobowych w działania marketingowe oraz wykorzystującego inne kanały komunikacji, np. email, telefon, social media.

Włączenie ochrony danych osobowych w działania związane z rekrutacją, z monitorowaniem kandydatów, związane z onboardingiem, z przeprowadzaniem szkoleń, ze współpracą ze szkołami wyższymi.

Włączenie ochrony danych osobowych w sposób wykorzystania oprogramowania CRM przez organizację.

Włączenie ochrony danych osobowych w politykę bezpieczeństwa informacji.

Włączenie ochrony danych osobowych przetwarzanych w procesie sprzedaży.

Włączenie ochrony danych osobowych w wykorzystanie urządzeń mobilnych.

Zarządzanie ochroną danych osobowych w procesie dostępu pracowników do zasobów sieciowych.

Monitorowanie zasad ochrony danych osobowych w działaniach związanych z ujawnieniem informacji urzędom skarbowym, np. US Wrocław, US Kraków.

Monitorowanie zasad ochrony danych osobowych w procesie archiwizacji danych.

5. Zarządzanie procesem szkoleń oraz działaniami zwiększającymi świadomość

Stan aktualnyWdrożono

Działanie

Przeprowadzenie obowiązkowych szkoleń z ochrony danych osobowych.

Przeprowadzenie regularnych szkoleń odświeżających wiedzę z zakresu ochrony danych osobowych.

Przeprowadzenie szkoleń lub zwiększanie świadomości pracowników w odpowiedzi na pojawiające się potrzeby.

Włączenie ochrony danych osobowych w istniejącą komunikację w firmie XYZ oraz zadbanie o materiały podnoszące świadomość o potrzebie ochrony danych osobowych, np. newslettery lub plakaty.

Stworzenie bazy wiedzy informacji o ochronie danych osobowych, np. w intranecie.

Zorganizowanie warsztatów związanych z podnoszeniem świadomości ochrony danych osobowych, np. case study.

Zapewnienie szkoleń dla Inspektora Ochrony Danych i jego zespołu.

6. Zarządzanie ryzykiem związanym z bezpieczeństwem przetwarzania danych osobowych

Stan aktualnyWdrożono

Działanie

Włączenie ryzyka związanego z ochroną danych osobowych i naruszenia praw lub wolności osób w ocenę ryzyka bezpieczeństwa używanego w organizacji.

Stosowanie odpowiednich technicznych środków zabezpieczeń, np. firewall, antywirus, szyfrowanie dysków, kontrola dostępu, systemy detekcji włamań, backup.

Stosowanie szyfrowania danych osobowych.

Monitorowanie procedur mających na celu ograniczenie dostępu do danych osobowych, np. dostęp na podstawie autoryzacji dwuskładnikowej.

Włączenie ochrony danych osobowych w stosowane zasady bezpieczeństwa fizycznego i logicznego.

Monitorowanie stosowanych zasad ochrony danych osobowych w dziale IT, np. polityki bezpieczeństwa, testy penetracyjne.

Włączenie ochrony danych osobowych w plany ciągłości działania.

Regularne monitorowanie i testowanie skuteczności stosowanych technicznych i organizacyjnych środków bezpieczeństwa danych.

7. Zarządzanie ryzykiem związanym z przekazywaniem danych osobowych podmiotom zewnętrznym, w tym umowy powierzenia przetwarzania danych i standardowe klauzule umowne

Stan aktualnyWdrożono

Działanie

Monitorowanie wymagań dotyczących ochrony danych stawianych dostawcom, np. dostawca usług hostingowych, dostawca oprogramowania CRM, dostawca usług księgowych oraz dostawca usług prawnych.

Zarządzanie i monitorowanie procesu realizacji umów powierzenia przetwarzania danych zawieranych z podwykonawcami oraz przeprowadzanie weryfikacji wykonywania obowiązków wynikających z umowy powierzenia oraz z RODO.

Zarządzanie i monitorowanie procesu przetwarzania danych przez podmioty oferujące rozwiązania w chmurze.

Monitorowanie audytów pod kątem wystąpienia nowego lub zmieniającego się ryzyka naruszenia ochrony danych.

8. Zarządzanie komunikacją z podmiotami danych

Stan aktualnyWdrożono

Działanie

Monitorowanie stosowania polityk ochrony danych osobowych, które szczegółowo opisują sposób, w jaki organizacja postępuje z danymi osobowymi.

Zbieranie zgód na przetwarzanie danych osobowych wszędzie tam, gdzie jest to wymagane.

Umieszczanie klauzul informacyjnych dotyczących ochrony danych osobowych wszędzie tam, gdzie zbierane są dane osobowe. Umieszczanie ich również w dokumentach, np. w stopce email, formularze kontaktowe oraz regulaminy.

Zadbanie, aby klientom została objaśniona treść komunikatów dotyczących ochrony ich danych osobowych.

9. Realizacja praw podmiotów danych, w tym odpowiadanie na ich żądania oraz obsługa ich skarg

Stan aktualnyWdrożono

Działanie

Monitorowanie stosowania procedur opisujących zasady realizacji żądania dostępu do danych osobowych.

Monitorowanie stosowania procedur opisujących zasady realizacji żądania podmiotów danych dotyczące sprostowania ich danych osobowych oraz formularzy wykorzystywanych w tym celu.

Monitorowanie stosowania procedur opisujących zasady realizacji żądania ograniczenia przetwarzania danych.

Monitorowanie stosowania procedur opisujących zasady realizacji prawa do informacji.

Monitorowanie stosowania procedur opisujących zasady realizacji żądania usunięcia danych.

Monitorowan