Raport Wdrożenia RODO
- Prawo
dane
- Kategoria
raport
- Instrukcja
Raport wdrożenia RODO należy wypełnić sekcja po sekcji, analizując każde działanie wymienione w szablonie. W kolumnie 'Stan aktualny' należy opisać, jak dane działanie jest realizowane w organizacji. Opis powinien być konkretny i precyzyjny, uwzględniając wdrożone procedury, wykorzystywane narzędzia, dokumenty oraz osoby odpowiedzialne. W przypadku braku wdrożenia danego działania, należy to jasno zaznaczyć, np. wpisując 'brak' lub 'nie wdrożono', wraz z ewentualnym uzasadnieniem. W miejscach oznaczonych nawiasami kwadratowymi, należy wpisać odpowiednie informacje specyficzne dla organizacji, np. nazwę organizacji, rodzaj klasyfikacji danych, lokalizację dokumentów, okres przechowywania danych. Należy zwrócić szczególną uwagę na placeholdery w nawiasach kwadratowych i zastąpić je rzeczywistymi danymi. Po wypełnieniu wszystkich sekcji, raport należy dokładnie przejrzeć i sprawdzić, czy wszystkie informacje są kompletne i zgodne z rzeczywistością. Raport powinien odzwierciedlać aktualny stan wdrożenia RODO w organizacji.
- Dane
badanie, czynność1, czynność2, dane, dokumenty, dział, działalność, firma, kanał, kanał1, kanał2, kanał3, klasyfikacja, kryterium, lokalizacja, materiały, materiały1, materiały2, narzędzie, narzędzie1, narzędzie2, narzędzie3, narzędzie4, narzędzie5, narzędzie6, okres, organizacja, organizacja1, organizacja2, organizacja3, osoby, plan, podmiot, podmiot1, podmiot2, podmiot3, podmiot4, podmiot5, polityka, proces, rodzaj, rodzaj1, rodzaj2, stanowisko, urządzenie, wydarzenie, zasób
Raport Wdrożenia RODO obejmuje działania zarządcze w organizacji, inwentaryzację danych osobowych, wdrożenie zasad ochrony danych, oddziaływanie systemu ochrony danych na działania organizacji, zarządzanie szkoleniami, zarządzanie ryzykiem bezpieczeństwa danych osobowych, zarządzanie przekazywaniem danych zewnętrznym oraz komunikację z podmiotami danych. Dokument zawiera także procedury dotyczące realizacji praw podmiotów danych i obsługi reklamacji.
1. Działania zarządcze w organizacji
Stan aktualny[opis]
Działanie
Zaangażowanie Zarządu i wyższego kierownictwa w proces ochrony danych osobowych – kontakt z Zarządem, raportowanie, przekazywanie cyklicznych informacji o stanie stosowania RODO i pojawiających się m.in. nowych wytycznych, wskazówkach [ORGANIZACJA] i dobrych praktykach.
Wyznaczenie Inspektora Ochrony Danych.
Powołanie Zespołu Inspektora Ochrony Danych (opcjonalnie).
Przypisanie odpowiedzialności za ochronę danych osobowych w poszczególnych komórkach organizacyjnych.
Przeprowadzanie oceny ryzyka naruszeń praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.
Stosowanie regulacji dotyczących ochrony danych osobowych, w tym wymogów RODO.
2. Inwentaryzacja danych osobowych, prowadzenie rejestru czynności przetwarzania oraz mapa przepływu danych w organizacji
Stan aktualny[opis]
Działanie
Prowadzenie rejestru czynności przetwarzania danych (jako administrator) i rejestru kategorii czynności przetwarzania (jako podmiot przetwarzający).
Przypisanie poszczególnym kategoriom danych osobowych w ramach procesów wskazanych w rejestrze czynności przetwarzania podstaw prawnych przetwarzania danych osobowych na podstawie art. 6 oraz 9 RODO.
Wprowadzenie klasyfikacji danych osobowych (np. [KLASYFIKACJA]).
Zarządzanie schematami przepływów danych (np. pomiędzy systemami, procesami, [LOKALIZACJA]).
Zarządzanie umowami w [LOKALIZACJA] transferze danych (np. [DOKUMENTY]).
Zapewnianie przetwarzania zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – na podstawie art. 5 ust. 1 lit. a RODO.
Zapewnianie zbierania danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami – na podstawie art. 5 ust. 1 lit. b RODO.
Weryfikacja adekwatności przetwarzania danych w zależności od celu przetwarzania danych – na podstawie art. 5 ust. 1 lit. c RODO.
Zapewnianie, aby dane osobowe były prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane – na podstawie art. 5 ust. 1 lit. d RODO.
Zapewnianie, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez [OKRES] nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane – na podstawie art. 5 ust. 1 lit. e RODO.
Zapewnianie, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych – na podstawie art. 5 ust. 1 lit. f RODO.
Przetwarzanie danych osobowych na podstawie zgody na przetwarzanie – wskaż przypadki, w których się to odbywa.
Prowadzenie rejestru umów powierzenia przetwarzania danych osobowych lub innych [DOKUMENTY] dokumentujących powierzenie przetwarzania danych osobowych.
3. Wdrożenie zasad ochrony danych osobowych wewnątrz organizacji
Stan aktualny[opis]
Działanie
Monitorowanie przestrzegania polityk ochrony danych oraz innych wdrożonych [DOKUMENTY].
Monitorowanie przestrzegania kodeksu postępowania dla ochrony danych obowiązujących w organizacji (jeżeli ma zastosowanie).
Monitorowanie zasady udokumentowania podstawy prawnej uprawniającej do przetwarzania danych osobowych.
4. Oddziaływanie systemu ochrony danych na działania organizacji
Stan aktualny[opis]
Działanie
Monitorowanie stosowanych zasad przetwarzania danych osobowych.
Monitorowanie i weryfikacja skuteczności stosowanych procesów anonimizacji lub pseudonimizacji danych.
Monitorowanie zasad automatycznego lub częściowego profilowania podmiotu danych i wpływu na niego.
Monitorowanie procesu zbierania zgód na przetwarzanie danych.
Zarządzanie procesem bezpiecznego niszczenia danych osobowych.
Ochrona prywatności w procesach przetwarzania danych osobowych wykorzystujących pliki cookies i inne techniki śledzenia zachowań w [LOKALIZACJA].
Włączenie ochrony danych osobowych w zasady dotyczące przechowywania [DANE].
Włączenie ochrony danych osobowych w działania [DZIAŁALNOŚĆ] oraz wykorzystującego inne kanały komunikacji, np. [KANAŁ1], [KANAŁ2], [KANAŁ3].
Włączenie ochrony danych osobowych w działania związane z [CZYNNOŚĆ1], z monitorowaniem [OSOBY], związane z [DZIAŁALNOŚĆ], z przeprowadzaniem [CZYNNOŚĆ2], ze współpracą ze [ORGANIZACJA].
Włączenie ochrony danych osobowych w sposób wykorzystania [NARZĘDZIE] przez organizację.
Włączenie ochrony danych osobowych w politykę [POLITYKA].
Włączenie ochrony danych osobowych przetwarzanych w procesie [PROCES].
Włączenie ochrony danych osobowych w wykorzystanie urządzeń [URZĄDZENIE].
Zarządzanie ochroną danych osobowych w procesie dostępu [OSOBY] do [ZASÓB].
Monitorowanie zasad ochrony danych osobowych w działaniach związanych z ujawnieniem informacji [ORGANIZACJA1], np. [ORGANIZACJA2], [ORGANIZACJA3].
Monitorowanie zasad ochrony danych osobowych w procesie [PROCES] danych.
5. Zarządzanie procesem szkoleń oraz działaniami zwiększającymi świadomość
Stan aktualny[opis]
Działanie
Przeprowadzenie obowiązkowych szkoleń z ochrony danych osobowych.
Przeprowadzenie regularnych szkoleń odświeżających wiedzę z zakresu ochrony danych osobowych.
Przeprowadzenie szkoleń lub zwiększanie świadomości [OSOBY] w odpowiedzi na pojawiające się potrzeby.
Włączenie ochrony danych osobowych w istniejącą komunikację w [FIRMA] oraz zadbanie o materiały podnoszące świadomość o potrzebie ochrony danych osobowych, np. [MATERIAŁY1] lub [MATERIAŁY2].
Stworzenie [ZASÓB] informacji o ochronie danych osobowych, np. w [LOKALIZACJA].
Zorganizowanie [WYDARZENIE] związanych z podnoszeniem świadomości ochrony danych osobowych, np. [WYDARZENIE].
Zapewnienie szkoleń dla [STANOWISKO] i jego zespołu.
6. Zarządzanie ryzykiem związanym z bezpieczeństwem przetwarzania danych osobowych
Stan aktualny[opis]
Działanie
Włączenie ryzyka związanego z ochroną danych osobowych i naruszenia praw lub wolności osób w ocenę ryzyka bezpieczeństwa używanego w organizacji.
Stosowanie odpowiednich technicznych środków zabezpieczeń, np. [NARZĘDZIE1], [NARZĘDZIE2], [NARZĘDZIE3], [NARZĘDZIE4], [NARZĘDZIE5], [NARZĘDZIE6].
Stosowanie szyfrowania danych osobowych.
Monitorowanie procedur mających na celu ograniczenie dostępu do danych osobowych, np. dostęp na podstawie [KRYTERIUM].
Włączenie ochrony danych osobowych w stosowane zasady bezpieczeństwa [RODZAJ1] i [RODZAJ2].
Monitorowanie stosowanych zasad ochrony danych osobowych w [DZIAŁ], np. [DOKUMENTY], [BADANIE].
Włączenie ochrony danych osobowych w plany [PLAN].
Regularne monitorowanie i testowanie skuteczności stosowanych [RODZAJ1] i [RODZAJ2] środków bezpieczeństwa danych.
7. Zarządzanie ryzykiem związanym z przekazywaniem danych osobowych podmiotom zewnętrznym, w tym umowy powierzenia przetwarzania danych i standardowe klauzule umowne
Stan aktualny[opis]
Działanie
Monitorowanie wymagań dotyczących ochrony danych stawianych [PODMIOT1], np. [PODMIOT2], [PODMIOT3], [PODMIOT4] oraz [PODMIOT5].
Zarządzanie i monitorowanie procesu realizacji umów powierzenia przetwarzania danych zawieranych z [PODMIOT] oraz przeprowadzanie weryfikacji wykonywania obowiązków wynikających z umowy powierzenia oraz z RODO.
Zarządzanie i monitorowanie procesu przetwarzania danych przez podmioty oferujące rozwiązania w [LOKALIZACJA].
Monitorowanie [DOKUMENTY] pod kątem wystąpienia nowego lub zmieniającego się ryzyka naruszenia ochrony danych.
8. Zarządzanie komunikacją z podmiotami danych
Stan aktualny[opis]
Działanie
Monitorowanie stosowania polityk ochrony danych osobowych, które szczegółowo opisują sposób, w jaki organizacja postępuje z danymi osobowymi.
Zbieranie zgód na przetwarzanie danych osobowych wszędzie tam, gdzie jest to wymagane.
Umieszczanie [DOKUMENTY] dotyczących ochrony danych osobowych wszędzie tam, gdzie zbierane są dane osobowe. Umieszczanie ich również w [RODZAJ], np. w [KANAŁ], [MATERIAŁY] oraz [DOKUMENTY].
Zadbanie, aby [OSOBY] została objaśniona treść komunikatów dotyczących ochrony ich danych osobowych.
9. Realizacja praw podmiotów danych, w tym odpowiadanie na ich żądania oraz obsługa ich skarg
Stan aktualny[opis]
Działanie
Monitorowanie stosowania [DOKUMENTY] opisujących zasady realizacji żądania dostępu do danych osobowych.
Monitorowan
Raport Wdrożenia RODO to kompleksowy dokument zawierający szczegółowe wytyczne dotyczące działań organizacji w zakresie ochrony danych osobowych zgodnie z RODO. Zapewnia kompleksowy przegląd kluczowych obszarów, które należy uwzględnić w procesie wdrożenia i utrzymania zgodności z przepisami dotyczącymi ochrony danych osobowych.