Utrzymanie SZBI zgodnie z RODO

Dla Ciebie przygotowaliśmy również:

Utrzymanie efektywnego Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z RODO

W związku z wejściem w życie nowych regulacji w obszarze ochrony danych osobowych we wszystkich państwach członkowskich UE należy przeprowadzić w każdej firmie działania związane z analizą oraz przedstawieniem rekomendacji do prawidłowego wdrożenia wprowadzonych regulacji RODO. Czasu nie jest zbyt wiele gdyż regulacja wchodzi w życie z dniem 25 maja 2018 r. i należy ją stosować. Alternatywą jest narażenie organizacji na skutki finansowe oraz odpowiedzialność karną.

Jakie organizacje powinny bezwzględnie stosować rozporządzenie RODO?

Regulator wyraźnie definiuje odbiorców rozporządzenia. Są to podmioty prywatne i publiczne, które przetwarzają duże ilości danych osobowych. Można domniemywać, że chodzi tu podmioty komercyjne sektora bankowego, telekomunikacyjnego, medialnego, dostawców mediów zapewniających minimalne warunki egzystencjonalne (woda, prąd, gaz) oraz jednostki administracji państwowej.

Czytaj: Podstawowe zasady przetwarzania danych wg RODO

Najważniejsze role wynikające z rozporządzenia RODO

Jak utrzymać organizację w zgodności z RODO

Open Audit jako zespół doświadczonych audytorów rekomenduje przeprowadzenie następujących działań:

  1. Przeprowadzenie analizy dojrzałości procesów oraz obecnej dokumentacji zarządzania bezpieczeństwem informacji pod kątem regulacji RODO:
    1. Zweryfikowanie jak działa System Zarządzania Bezpieczeństwem Informacji;
    2. Inwentaryzacja obecnie wdrożonych polityk i procedur;
    3. Inwentaryzacja ról pod kątem RODO;
    4. Analiza dokumentacji zarządzania ryzykiem oraz wyników ostatnich analiz ryzyka.
  2. Przeprowadzenie analizy pod kątem zgodności organizacji z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679, w szczególności:
    1. Badanie zgodności z ogólnymi zasadami przetwarzania danych osobowych;
    2. Badanie zgodności z zasadami wyrażania zgody na przetwarzania danych – w tym dzieci w przypadku usług społeczeństwa informacyjnego;
    3. Badanie zgodności z wymaganiami dla przetwarzania szczególnych kategorii danych osobowych;
    4. Badanie zgodności z wymaganiami dla przejrzystego informowania i komunikacji oraz zgodności z trybem wykonywania praw przez osoby, których dane dotyczą;
    5. Badanie zgodności z wymaganiami dla prawa dla sprostowania, ograniczenia przetwarzania i usuwania danych – w tym prawa do „bycia zapomnianym”;
    6. Badanie zgodności z wymaganiami dla powiadamiania o sprostowaniu lub usunięciu danych lub o ograniczeniu przetwarzania;
    7. Badanie zgodności z wymaganiami dotyczącymi przenoszenia danych;
    8. Badanie zgodności z wymaganiami dotyczącymi prawa do sprzeciwu;
    9. Badanie zgodności z obowiązkami Administratora danych i podmiotu przetwarzającego;
    10. Badanie zgodności z wymaganiami dla rejestrowania czynności przetwarzania;
    11. Badanie zgodności z wymaganiami dla bezpieczeństwa przetwarzania;
    12. Badanie zgodności z zasadami oceny skutków dla ochrony danych;
    13. Badanie zgodności z zadaniami Inspektora Ochrony Danych oraz zasadami jego powoływania.
  3. Przygotowanie raportu.

Następstwem powyższych działań audytowych powinno być opracowanie (na podstawie raportu) odpowiednich działań zaradczych

Co dalej? Zobacz tu: Szczegółowy opis wdrożenia wymagań rozporządzenia RODO można znaleźć na niniejszej stronie Open Audit

Jednostki samorządu terytorialnego (JST)

Jednostki samorządu terytorialnego nie są odpowiednio przygotowane do samodzielnego wdrożenia wymagań RODO. Dotyczy to głównie małych i średnich jednostek, które nie mają odpowiedniego wsparcia prawnego oraz wykwalifikowanego personelu zajmującego się tematyką bezpieczeństwa informacji czy bezpieczeństwa teleinformatycznego. W związku z tym JST mogą się posiłkować opracowaniami dostępnymi w mediach chcąc dostować swoje Systemy Zarządzania Bezpieczeństwem Informacji do wymagań RODO. Jednak nie jest to łatwe.