Kompletna lista kontrolna zgodności z RODO

W dzisiejszych czasach, gdy aplikacje, z których korzystamy na co dzień, gromadzą ogromne ilości danych, ochrona prywatności stała się kluczowa. Rozporządzenie o Ochronie Danych Osobowych (RODO), ustanowione przez Unię Europejską, ma na celu modernizację przepisów dotyczących prywatności i bezpieczeństwa danych obywateli UE. Firmy, niezależnie od ich lokalizacji, które przetwarzają dane osobowe obywateli UE, muszą przestrzegać RODO, aby uniknąć surowych kar finansowych i utraty reputacji.

Czym jest lista kontrolna zgodności z RODO?

Lista kontrolna zgodności z RODO to szczegółowy przewodnik krok po kroku, który pomaga organizacjom zrozumieć i wdrożyć wszystkie niezbędne środki w celu spełnienia wymogów RODO. Działa jak mapa drogowa, prowadząc firmy przez skomplikowany proces stawania się zgodnym z przepisami o ochronie danych. Przestrzeganie RODO nie jest tylko kwestią unikania kar; to przede wszystkim budowanie zaufania klientów i demonstrowanie odpowiedzialności w zakresie ochrony ich danych osobowych.

Kogo dotyczy RODO?

RODO ma zastosowanie do każdej organizacji, która gromadzi i przetwarza dane osobowe obywateli Unii Europejskiej, niezależnie od tego, czy firma ma siedzibę na terenie UE, czy nie. Jeśli Twoja firma oferuje usługi lub towary obywatelom UE, lub monitoruje ich zachowanie (na przykład poprzez śledzenie online), musisz przestrzegać RODO.

Rozdział 4 (artykuły 24-43) rozporządzenia RODO definiuje klientów jako administratorów danych. To oni mają prawo decydować o sposobie przetwarzania ich danych. Organizacje są natomiast traktowane jako podmioty przetwarzające, które muszą przestrzegać praw administratorów danych i przepisów RODO.

Dlaczego warto przestrzegać RODO?

RODO to rygorystyczny zbiór zasad ustanowionych przez Komisję Europejską, mający na celu ochronę prywatności i bezpieczeństwa danych obywateli UE. Daje im większą kontrolę nad ich danymi osobowymi i ogranicza sposób, w jaki firmy mogą wykorzystywać i przechowywać te dane.

Firmy, które przetwarzają dane osobowe obywateli UE, podlegają RODO. Nawet firmy zlokalizowane poza UE muszą przestrzegać RODO, jeśli mają klientów z UE. RODO nadzoruje również przekazywanie danych osobowych poza UE.

Naruszenie RODO wiąże się z wysokimi karami pieniężnymi, sięgającymi od 10 do 20 milionów euro lub 4% rocznego światowego obrotu firmy. Możesz zostać objęty dochodzeniem organów regulacyjnych UE i spotkać się z potencjalnymi pozwami sądowymi.

Pomijając kary, w świetle rosnących obaw społecznych dotyczących wykorzystania i przechowywania danych osobowych, nie chcesz niszczyć reputacji swojej firmy. Przestrzegając RODO, prezentujesz swoją firmę jako godną zaufania i profesjonalną. Zmniejszasz również ryzyko naruszenia danych, wprowadzając systemy i procesy bezpiecznego przetwarzania danych.

Lista kontrolna zgodności z RODO (12 kroków na rok 2024/2025)

RODO podkreśla, że podmioty przetwarzające dane powinny działać zgodnie z prawem i przejrzyście, zapewniać bezpieczeństwo danych, przypisywać odpowiedzialność i sprawować nadzór, a także chronić prawa osób fizycznych.

Lista kontrolna RODO powinna uwzględniać te praktyki i określać procesy oraz kontrole, które stanowią jasne wytyczne dla każdej organizacji gromadzącej dane. Przestrzeganie jej pozwoli firmom zrozumieć ich status zgodności i co mogą zrobić, aby go poprawić.

1. Podnoszenie świadomości

   Zgodność z RODO nie ogranicza się do najwyższego kierownictwa lub inspektora ochrony danych (DPO). Należy przyjąć holistyczne podejście do pracy związanej ze zgodnością, angażując wszystkich pracowników. Podnoś świadomość na temat ochrony danych i bezpieczeństwa, aby zaszczepić poczucie odpowiedzialności.

   Zacznij od zidentyfikowania obszarów, które mogą powodować niezgodność z RODO, takich jak rejestr ryzyka firmy. Zapewnij bezpieczeństwo fizyczne urządzeń, które pracownicy noszą ze sobą, oraz biura. Kontroluj dostęp pracowników do danych, aby ograniczyć liczbę punktów wyjścia. Sprawdź, czy Twoi zewnętrzni dostawcy i podwykonawcy przestrzegają RODO. Jeśli nie, Ty również nie jesteś zgodny. Poproś ich o podjęcie działań w kierunku zgodności lub zmień partnerów biznesowych. Powinieneś również posiadać umowy o przetwarzaniu danych (a nie tylko ustne lub pisemne potwierdzenie) z zewnętrznymi dostawcami, aby być w pełni zgodnym.

2. Prowadzenie rejestru przepływów przetwarzania danych

   Musisz wiedzieć, jak dane Twoich klientów przepływają w Twojej firmie. Tworząc takie rejestry dla każdego elementu danych, możesz dostosować się do zasady odpowiedzialności RODO, która wymaga od firm możliwości wykazania kroków, które podejmują w celu przestrzegania zasad ochrony danych. Zarejestruj następujące informacje:

   • Jakie są działy w Twojej firmie?
   • Jaki rodzaj danych osobowych jest rejestrowany w każdym dziale?
   • W jaki sposób każdy dział przetwarza dane osobowe?
   • W każdym dziale, kto jest odpowiedzialny za przetwarzanie danych?

   Zbierz informacje w spójnym dokumencie i regularnie go aktualizuj, aby być na bieżąco z praktykami dotyczącymi przetwarzania danych. Jeśli udostępniłeś nieprawidłowe dane osobowe innej firmie, musisz powiadomić tę firmę, aby mogła poprawić swoje rejestry.

3. Przegląd aktualnych polityk prywatności

   RODO nakłada obowiązek przekazywania osobom fizycznym dodatkowych informacji o ich danych osobowych. Wcześniej musiałeś informować ludzi o swojej tożsamości i sposobie, w jaki zamierzasz wykorzystywać dane. Teraz musisz zaktualizować treść swojej polityki prywatności prostym i jednoznacznym językiem, aby uwzględnić następujące elementy:

   • W jaki sposób gromadzisz dane osobowe?
   • Dlaczego gromadzisz dane osobowe (podstawa prawna)?
   • Do czego zamierzasz wykorzystywać dane osobowe?
   • Jak długo będziesz przechowywać dane osobowe?
   • Jakie są prawa Twoich użytkowników? (Mogą złożyć skargę do organu nadzorczego, jeśli nie są zadowoleni z Twojego sposobu przetwarzania danych).

   Stwórz również szczegółową politykę dotyczącą plików cookie, która zawiera informacje o tym, które pliki cookie są aktywne na Twojej stronie internetowej i jaki jest ich cel. Użyj zautomatyzowanych narzędzi do plików cookie, aby przeprowadzać audyty i generować deklaracje, tak aby Twoja polityka dotycząca plików cookie była zawsze aktualna.

   

4. Sprawdzenie praw osób fizycznych

   Przejrzyj swoje procedury i polityki dotyczące prywatności i/lub ochrony danych, aby upewnić się, że uwzględniają one prawa osób fizycznych zgodnie z wymogami RODO. Obejmuje to informacje o tym, w jaki sposób będziesz usuwać dane osobowe i czy jesteś w stanie dostarczyć dane w formie elektronicznej w powszechnie używanym formacie i bezpłatnie.

   Zgodnie z RODO osoby fizyczne będą miały rozszerzone prawa do:

   • dostępu do swoich informacji
   • korygowania błędów
   • przenoszenia danych
   • usuwania danych osobowych
   • zapobiegania marketingowi bezpośredniemu
   • zapobiegania zautomatyzowanemu podejmowaniu decyzji i profilowaniu

   Na przykład, jeśli dana osoba poprosi o usunięcie jej danych osobowych, ustal, jak zareaguje Twoja firma. Czy Twoje systemy pozwalają na zlokalizowanie i usunięcie danych? Kto będzie podejmował decyzje związane z danymi?

5. Przegląd i aktualizacja procedur składania wniosków

   Przejrzyj i zaktualizuj swoje aktualne procedury dotyczące sprawnego rozpatrywania wniosków o dostęp do danych w wymaganych terminach. Opracuj plan postępowania z wnioskami w świetle nowych zasad:

   • W większości sytuacji nie będziesz mógł pobierać opłat za rozpatrzenie wniosku.
   • Musisz rozpatrywać wnioski o dostęp do danych w ciągu jednego miesiąca, zamiast dotychczasowego terminu 40 dni.
   • Możesz odrzucić wniosek, który uznasz za nadmierny lub oczywiście bezpodstawny.
   • Jeśli odrzucisz wniosek, musisz wyjaśnić danej osobie dlaczego, a także poinformować ją, że ma prawo złożyć skargę do organu nadzorczego i podjąć kroki prawne. Musisz to również zrobić bez zbędnej zwłoki i w ciągu jednego miesiąca.

   Zastanów się, czy Twoja firma jest w stanie obsłużyć dużą liczbę wniosków o dostęp do danych w wymaganych terminach, zwłaszcza jeśli jesteś dużym podmiotem. Czy możesz dostarczyć dodatkowe informacje, takie jak okresy przechowywania danych i sprostowanie nieścisłości w ramach swoich obecnych systemów? Kilka praktycznych kroków, które możesz podjąć:

   • Utwórz zgodne z RODO pisma odpowiedzi, aby zapewnić prawidłowe rozpatrywanie wniosków o dostęp do danych.
   • Zaktualizuj polityki i procedury dotyczące wniosków o dostęp do danych, aby uwzględnić rozszerzone prawa osób fizycznych, nowe terminy i zniesienie opłaty za rozpatrywanie wniosków.
   • Ustanów procedury techniczne umożliwiające szybkie przetwarzanie danych osobowych i w wymaganym formacie.
   • Utwórz nowe polityki w celu szybkiego korygowania nieścisłości w danych i procedurę wstrzymania przetwarzania w stosownych przypadkach.

6. Identyfikacja, rejestracja i wyjaśnienie podstawy prawnej

   Przejrzyj działania związane z przetwarzaniem danych w Twojej firmie i zidentyfikuj podstawę prawną. Udokumentuj ją i zaktualizuj swoją politykę prywatności, aby wyraźnie odzwierciedlić zmianę. Będziesz musiał również wyjaśnić swoją podstawę prawną, odpowiadając na wnioski o dostęp do danych.

   Identyfikacja podstawy prawnej przetwarzania danych jest ważna na mocy RODO, ponieważ niektóre prawa osób fizycznych zostaną zmodyfikowane w zależności od tego, jaka jest ta podstawa. Na przykład, jeśli zidentyfikujesz swoją podstawę prawną jako zgodę, ludzie będą mieli silniejsze prawo do usunięcia swoich danych.

7. Sposób uzyskiwania zgody

   Podobnie jak w przypadku polityki dotyczącej plików cookie, RODO wymaga od firm aktualizacji banerów zgody na pliki cookie w prostym, łatwym do zrozumienia tekście, który jest zwięzły i konkretny. Powinien on zawierać przycisk rezygnacji dla osób, które nie chcą wyrazić zgody. Zautomatyzowane oprogramowanie do plików cookie może tworzyć dla Ciebie dostosowane zgody użytkowników. Przejrzyj wszelkie inne metody uzyskiwania zgody i uzyskaj świeżą zgodę, jeśli Twoje dotychczasowe zgody nie są zgodne z RODO.

8. Ochrona danych dzieci

   Zastanów się, czy musisz wprowadzić systemy weryfikacji wieku osób fizycznych i uzyskania zgody rodziców/opiekunów prawnych podczas przetwarzania danych dzieci. RODO wprowadziło szczególną ochronę dla szczególnie wrażliwych podmiotów danych, zwłaszcza dzieci, w kontekście komercyjnych usług internetowych, takich jak sieci społecznościowe. Jeśli Twoja firma świadczy „usługi społeczeństwa informacyjnego” na rzecz dzieci, które wymagają zgody na gromadzenie danych osobowych, musisz uzyskać zgodę rodzica lub opiekuna. Zgoda ta musi być weryfikowalna i przekazywana w języku przyjaznym dzieciom. Dzieci poniżej 16 roku życia (poniżej 13 roku życia w Wielkiej Brytanii) wymagają takiej zgody od osoby sprawującej „odpowiedzialność rodzicielską”.

9. Wykrywanie, zgłaszanie i badanie naruszeń danych

   Wprowadź odpowiednie procedury wykrywania, zgłaszania i badania naruszeń danych osobowych. Przeprowadź ocenę RODO, aby określić rodzaje danych, które przechowujesz, i udokumentuj, które z nich spowodują powiadomienie w przypadku naruszenia. RODO nakłada na wszystkie firmy obowiązek zgłaszania niektórych rodzajów naruszeń danych organowi nadzorczemu, a w niektórych sytuacjach również osobom fizycznym.

   Na przykład, naruszenie prawdopodobnie spowoduje ryzyko dla praw i wolności osób fizycznych i może spowodować straty finansowe, szkody w reputacji, utratę poufności lub dyskryminację. Jesteś zobowiązany powiadomić właściwy organ nadzorczy w ciągu 72 godzin od momentu dowiedzenia się o naruszeniu danych osobowych. Jeśli istnieje wysokie ryzyko dla praw i wolności osób fizycznych, należy je również poinformować bez zbędnej zwłoki.

10. Przyjęcie podejścia opartego na prywatności i ochronie danych

    Firmy powinny przyjąć zasadę „prywatności w fazie projektowania”. Przeprowadź ocenę skutków dla ochrony danych (DPIA) w sytuacjach wysokiego ryzyka, na przykład gdy ćwiczenie profilowania może mieć wpływ na użytkowników lub gdy wdrażana jest nowa technologia. Użyj pseudonimizacji lub anonimizacji, aby szyfrować dane, ponieważ metody te są zalecane przez RODO. Usuń dane, których już nie używasz lub nie są potrzebne, aby zmniejszyć ilość danych wymagających ochrony. Usuń również przestarzałe dane z kopii zapasowych. Upewnij się, że Twoje centra danych znajdują się w obszarach o wysokim poziomie bezpieczeństwa danych, takich jak USA lub Europa. Wdróż środki informatyczne, takie jak podwójne uwierzytelnianie dla pracowników i certyfikaty TLS/SSL. Szyfruj hasła do swoich systemów i zabezpiecz urządzenia, które pracownicy przynoszą do pracy. Regularnie przeprowadzaj skanowanie luk w zabezpieczeniach urządzeń, systemów i sieci w celu zidentyfikowania potencjalnych luk w zabezpieczeniach.

11. Wyznaczenie inspektora ochrony danych (DPO)

    Zidentyfikuj i wyznacz inspektora ochrony danych (DPO), który przejmie odpowiedzialność za zgodność z przepisami o ochronie danych. Określ, gdzie ta rola będzie pasować do struktury organizacyjnej i ustaleń dotyczących zarządzania. Zastanów się, czy jesteś zobowiązany do formalnego wyznaczenia DPO. Zgodnie z RODO musisz wyznaczyć DPO w następujących przypadkach:

    • Jesteś organem publicznym.
    • Twoja firma lub Ty przeprowadzasz regularne i systematyczne monitorowanie dużych ilości danych.
    • Przeprowadzasz przetwarzanie szczególnych kategorii danych, takich jak dokumentacja medyczna lub dane dotyczące wyroków skazujących, na dużą skalę.

    Punkty (2) i (3) mają zastosowanie do większości firm, ponieważ przetwarzanie danych osobowych i monitorowanie danych są dla nich podstawowymi działaniami. W związku z tym muszą wyznaczyć DPO (konsultanta wewnętrznego/zewnętrznego), aby być zgodnym z RODO. Inspektor ochrony danych wyznaczony wewnętrznie może potrzebować przeszkolenia, aby zrozumieć RODO i obowiązki związane z tą rolą.

12. Wybór głównego organu nadzorczego

    Jeśli Twoja firma działa w więcej niż jednym państwie członkowskim UE lub jeśli masz pojedynczą placówkę w UE, która przetwarza dane wpływające na obywateli UE w innych państwach członkowskich, powinieneś wybrać główny organ nadzorczy ochrony danych i udokumentować to. Możesz określić swoje „główne miejsce prowadzenia działalności” poprzez mapowanie, gdzie Twoja firma podejmuje najważniejsze decyzje dotyczące działań związanych z przetwarzaniem danych. Organem wiodącym będzie organ nadzorczy w tym miejscu prowadzenia działalności.

Lista kontrolna artykułu 32 RODO - Bezpieczeństwo przetwarzania

Artykuł 32 RODO określa techniczne i organizacyjne środki, które organizacje powinny wdrożyć w celu ochrony przechowywanych danych osobowych. RODO nie wchodzi w szczegóły dotyczące konkretnych procesów, ponieważ najlepsze praktyki, szczególnie w technologii, szybko się zmieniają. Wdrożone środki powinny adekwatnie chronić systemy przed naruszeniami danych i innymi potencjalnymi problemami.

Minimalne wymagania zgodności w artykule 32

Każda organizacja działa inaczej i ma swoje własne ryzyko, dlatego nie ma jednego zestawu praktyk ochrony danych, który działa dla wszystkich. RODO wymaga wdrożenia zabezpieczeń odpowiednich do okoliczności i ryzyka, z jakim się mierzysz. Może to obejmować:

• Pseudonimizację danych osobowych: Zastąpienie nazwisk i unikalnych identyfikatorów osób, których dane dotyczą, numerem referencyjnym, do którego można odnieść się za pomocą oddzielnego dokumentu.
• Szyfrowanie danych osobowych: Dodatkowe zabezpieczenie, które czyni dane nieczytelnymi bez klucza deszyfrującego.
• Środki ochrony poufności, integralności i dostępności danych osobowych: Poufność oznacza, że wrażliwe informacje są dostępne tylko dla upoważnionych stron, integralność oznacza dokładność informacji, a dostępność oznacza dostęp do informacji w razie potrzeby.
• Środki umożliwiające przywrócenie danych w przypadku zakłócenia: Tworzenie i regularne utrzymywanie kopii zapasowych poza siedzibą firmy, aby zapobiec utracie danych.
• Regularne testowanie skuteczności tych środków: Regularne testowanie wszelkich środków technicznych lub organizacyjnych w formie audytów, skanów podatności lub testów penetracyjnych.

Lista kontrolna artykułu 32 RODO

Urząd Ochrony Danych Osobowych (UODO) stworzył listę kontrolną zgodności z artykułem 32 RODO:

1. Przy rozważaniu środków bezpieczeństwa informacji należy wziąć pod uwagę stan wiedzy technicznej i koszty wdrożenia.
2. Utwórz politykę bezpieczeństwa informacji, aby śledzić środki techniczne i organizacyjne.
3. Utwórz dodatkowe, szczegółowe polityki dotyczące środków bezpieczeństwa informacji.
4. Regularnie przeglądaj polityki, aby upewnić się, że działają zgodnie z zamierzeniami, i ulepszaj je tam, gdzie to możliwe.
5. Wdróż podstawowe kontrole techniczne, takie jak te określone w ustalonych ramach, takich jak Cyber Essentials.
6. Oceń, czy należy wdrożyć nowe środki, jeśli zmienią się okoliczności przetwarzania danych.
7. Wdróż środki ochrony poufności, integralności i dostępności danych osobowych.
8. Wdróż środki umożliwiające przywrócenie dostępu do danych osobowych w przypadku zakłócenia.
9. Regularnie testuj i przeglądaj środki techniczne i organizacyjne, wskazując obszary wymagające poprawy.
10. W stosownych przypadkach wdróż środki zgodne z zatwierdzonym kodeksem postępowania lub mechanizmem certyfikacji.
11. Upewnij się, że każdy podmiot przetwarzający dane również wdraża odpowiednie środki techniczne i organizacyjne.

Jak uzyskać certyfikat zgodności z RODO?

Certyfikat RODO pokazuje, że przestrzegasz zasad ochrony danych wobec Europejskiej Rady Ochrony Danych (EROD) i swoich klientów. Można go uzyskać od jednostek akredytujących, takich jak EuroPrise, TRUSTe, ISO 27001 ISMS i Cyber Essentials, przy czym EROD ma w przyszłości oferować certyfikację. Aby uzyskać certyfikat, należy najpierw zastosować się do powyższej listy kontrolnej, a następnie przeprowadzić audyt RODO. Można to zrobić ręcznie lub za pośrednictwem platformy automatyzacji zgodności.

Podsumowanie

RODO jest uważane za jedno z najsurowszych przepisów dotyczących prywatności i bezpieczeństwa na świecie. Musisz przestrzegać wymogów RODO, jeśli Twoja firma działa w Europie lub kieruje swoją ofertę do europejskich klientów. Nieprzestrzeganie RODO wiąże się z wysokimi karami pieniężnymi i utratą zaufania i reputacji. Po upewnieniu się, że spełniasz wszystkie wymagania z powyższej listy kontrolnej, możesz przeprowadzić audyt w celu zapewnienia zgodności.

Często zadawane pytania dotyczące list kontrolnych RODO

Co jest uważane za dane osobowe w RODO?

Zgodnie z RODO, dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Może to być imię i nazwisko, numer identyfikacyjny, dane o lokalizacji lub unikalne cechy charakterystyczne. Może to obejmować adresy IP, atrybuty fizyczne, stanowisko lub opinie polityczne.

Jakie są cztery kluczowe elementy RODO?

Cztery kluczowe elementy RODO to:

• Podstawa prawna i przejrzystość
• Bezpieczeństwo danych
• Odpowiedzialność i nadzór
• Prawa do prywatności

Jakie jest 7 zasad RODO?

Siedem zasad RODO to:

• Zgodność z prawem, rzetelność i przejrzystość.
• Ograniczenie celu.
• Minimalizacja danych.
• Dokładność.
• Ograniczenie przechowywania.
• Integralność i poufność (bezpieczeństwo)
• Rozliczalność

Jakie są cele RODO?

RODO, wraz z nowym prawem dotyczącym zarządzania danymi, ma na celu skupienie się na zarządzaniu danymi, administrowaniu danymi i przejrzystości danych.

Jeśli chcesz poznać inne artykuły podobne do Kompletna lista kontrolna zgodności z RODO, możesz odwiedzić kategorię Rachunkowość.