środa, 23 maja 2018

Malborska Rada Organizacji Pozarządowych organizuje warsztaty w sprawie RODO

Co trzeba wiedzieć o RODO 

.
Podczas wczorajszego, kolejnego roboczego spotkania członków Malborskiej Rady Organizacji Pozarządowych (MROP) - ustalono m.in organizację bezpłatnych warsztatów na temat dylematów z którymi stykają się organizacje, stowarzyszenia  z Malborka w związku wejściem przepisów o ochronie danych osobowych. 

Najbliższy piątek, 25 maja będzie dniem rewolucji w podejściu do prywatności. RODO (czyli rozporządzenie o ochronie danych osobowych) będzie obowiązywało wszystkie instytucje, które przetwarzają dane osobowe – od wielkich firm, przez organizacje trzeciego sektora (stowarzyszenia, fundacje)  i administrację po  kościoły wszelkich denominacji.

Wychodząc na przeciw potrzebom


"Wychodząc na przeciw potrzebom", rodzącym się pytaniom - zwłaszcza z którymi stykamy się w naszej pracy na rzecz organizacji  w środowisku Malborka postanowiliśmy wesprzeć edukacyjnie w tym zakresie wszystkich którzy potrzebują wiedzy, podpowiedzi i rozwiązywania dylematów - powiedział Andrzej Panek - Przewodniczący MROP - Temu służyć będzie Lokalna Gazeta Obywatelska oraz organizacja warsztatów. 

Poprosimy inne malborskie media o rozgłaszanie tej informacji. 


O szkoleniu dla prawdziwie zainteresowanych osób. Szkolenie odbędzie się w Malborskim Centrum Wolontariatu dnia 12-go czerwca w godzinach 17:00-20:00. Szkolenie poprowadzi bezpłatnie Marek Mróz, posiadający w tym względzie uprawnienia, z biura obsługi firm "PIO-MAR". Zgłoszenia na szkolenie będziemy "zbierać" telefonicznie. Podamy to już niedługo udostępniając  telefony stacjonarne do sob zajmujących się rekrutacją - dodaje przewodniczący MROP. 

Póki co, korzystając z rożnych opracowań, staramy się przybliżyć we wszelkich możliwych formach wiedzę i obniżyć swoisty poziom lęku przed czymś, co tak naprawdę trzeba zrobić i o tym wiedzieć.

Pod pojęciem przetwarzania danych rozumiane tu jest 

choćby ich posiadanie, jak również zbieranie czy opracowywanie. A więc jeśli firma prowadzi dokumentację księgowo-finansową, to już pod RODO podlega. W zasadzie podlegają pod nie dosłownie wszyscy, którzy posiadają takie dane jak imię, nazwisko, data urodzenia, adres mailowy, nie wspominając o danych wrażliwych, jak te medyczne czy o przekonaniach religijnych, politycznych lub orientacji seksualnej.

Przetwarzaniem danych będzie nawet przyjęcie wizytówki 

– w końcu widnieje na niej imię, nazwisko czy numer telefonu – której nie będzie można przekazać nikomu dalej bez zgody jej właściciela.

Kto nie zadba o odpowiednie zabezpieczenia już teraz, będzie musiał się liczyć z potężnymi karami finansowymi. W niektórych przypadkach mogą one wynieść nawet do 20 mln euro lub 4 proc. rocznych globalnych obrotów firmy. To maksymalna wysokość kary, wszystko będzie zależało od rodzaju przewinienia, sposobu „gaszenia pożaru” czy tego, jak do RODO firma się przygotowała. 

Czyli tego, co musi zrobić już dziś. 
A w zasadzie co powinna zrobić dawno. A więc po kolei.

Przegląd danych

Pierwszym krokiem musi być sprawdzenie, jakie dane osobowe firma posiada obecnie. Trzeba wypisać wszystkie zbiory – dane klientów, partnerów, pracowników, współpracowników, dane z ewentualnych konkursów czy jakichkolwiek akcji z klientami, dane z programów lojalnościowych, z rejestracji u lekarza, dane biometryczne itd., itp.

Następnie trzeba ustalić, czy poszczególne zbiory danych są nadal firmie potrzebne. Jeśli nie, powinna je skasować – kłania się tu przepis z RODO o tzw. minimalizacji, czyli przechowujemy tylko te informacje, które rzeczywiście są nam potrzebne. Jeśli firma prowadzi sprzedaż długopisów, a nie wiadomo, skąd ma informacje medyczne o swoich klientach, natychmiast powinna je usunąć i pozostawić tylko te, które do sprzedaży długopisów są jej niezbędne.

 Kolejna sprawa to ustalenie, jak dane są przechowywane – w zwykłych czy zaszyfrowanych plikach, na jednym czy na wielu serwerach etc. To ważne w momencie, gdy będziemy musieli je odpowiednio zabezpieczyć.

Weryfikacja danych

Teraz należy zadać sobie pytanie, w jaki sposób firma te dane zdobyła i czy ich właściciele wyrazili na to zgodę. Wiele firm do tej pory handlowało danymi bez wiedzy właścicieli – teraz wszystko to będą musiały kasować lub prosić o zgodę.

A ta musi być dobrowolna, konkretna, świadoma i jednoznaczna. Inaczej mówiąc: właściciel danych, które przetwarzamy, musi mieć świadomość, że to robimy, musi wiedzieć, w jakim celu to robimy, i musi się na to jasno i wyraźnie zgodzić. Każda zgoda na przetwarzanie danych otrzymana przed 25 maja musi zostać pod kątem tych warunków zweryfikowana.

Jeśli istnieje ryzyko, że właściciel danych, które przetwarzamy, może nie być tego świadom, należy jeszcze raz go o tym poinformować i zapytać o zgodę. Można to zrobić za pomocą poczty tradycyjnej lub maila. To właśnie dlatego w ostatnich tygodniach każdy z nas dostaje dziesiątki maili z różnych firm i serwisów internetowych z prośbą o zaktualizowanie swojej zgody na przetwarzanie danych. Dla bezpieczeństwa powinna tak się zachować każda instytucja.

Ocena ryzyka

To następny wymóg RODO, który należy wykonać przed 25 maja. Rozporządzenie nie wyjaśnia dokładnie, jak przeprowadzona ma zostać „ocena ryzyka”. Tłumaczy jedynie, że chodzi o ocenienie, na ile nasze dane są zabezpieczone i jak duże jest ryzyko ich wycieku.

Choć nie wiadomo dokładnie, jak to zrobić, do oceny ryzyka nie trzeba zatrudniać specjalnego doradcy czy prawnika, można jej dokonać samemu.

Podpowiedź daje dr Maciej Kawecki z Ministerstwa Cyfryzacji. Radzi: – Należy wyodrębnić środki zabezpieczające, które jesteśmy w stanie zapewnić w przetwarzaniu danych osobowych. Następnie trzeba stworzyć skalę np. od 1 do 10. W przypadku „1” to sytuacje, w których rejestr czy zbiór w ogóle nie przetwarza danych osobowych, albo przetwarza je anonimowo. W przypadku „10” przetwarzamy wyłącznie dane osobowe wrażliwe w dużych ilościach. Jeśli już stworzyliśmy taką skalę, to każdej z tych pozycji przyporządkowujemy określone zabezpieczenie.

Bardzo ważną sprawą jest, by cały ten proces był udokumentowany. Po to, by w razie wycieku czy jakiejkolwiek kontroli ze strony inspektorów udowodnić, że firma zrobiła wszystko, by dane były bezpieczne.

Zabezpieczenie danych

Jedno z kluczowych zadań do wykonania już teraz. Przepisy także tutaj nie dają jasnej odpowiedzi, jak to zrobić. Według dr. Pawła Litwińskiego z kancelarii Barta Litwiński najlepiej jest skorzystać z rozwiązań technologicznych zewnętrznej firmy – chodzi o programy do szyfrowania i przechowywania danych. Dzięki temu firma podpiera się autorytetem innej firmy i ma pewność, że korzysta ze sprawdzonego produktu.

Im bardziej zanonimizowane oraz zaszyfrowane są dane, tym większa pewność, że nigdzie nie wyciekną. Po wejściu RODO prawdopodobnie powstaną firmy, które będą oferowały oprogramowanie ze specjalnym certyfikatem bezpieczeństwa pod kątem tego rozporządzenia. Warto rozejrzeć się za takim programem.

To cztery najważniejsze kroki, które należy podjąć już teraz – przed 25 maja. Po tym terminie w każdej chwili do firmy mogą wejść inspektorzy, którzy zapytają, jak firma zabezpieczyła dane, sprawdzą, czy zgody na ich przetwarzanie są odpowiednie lub czy dokonano oceny ryzyka. Każde zaniechanie może wiązać się najpierw z upomnieniami, ale potem z potężnymi karami. Dlatego warto zająć się swoimi danymi jak najszybciej. Czasu pozostało bardzo niewiele.

Źródła: https://www.ksoin.pl/tylko-15-dni-zostalo-do-konca-vacatio-legis-unijnego-rozporzadzenia-o-ochronie-danych-osobowych/ http://wyborcza.biz/biznes/7,158582,23371434,jak-przygotowac-sie-na-rodo.html

Brak komentarzy:

Prześlij komentarz