Lista kontrolna zgodności z RODO — blog IBM

Ogólne rozporządzenie o ochronie danych (RODO) to prawo Unii Europejskiej (UE), które reguluje sposób, w jaki organizacje gromadzą i wykorzystują dane personalne. Każda firma działająca w UE lub przetwarzająca dane mieszkańców UE musi przestrzegać wymogów RODO.

Jednak zgodność z RODO niekoniecznie jest sprawą prostą. Prawo określa zestaw prywatność danych praw przysługujących użytkownikom oraz szereg zasad przetwarzania danych osobowych. Organizacje muszą przestrzegać tych praw i zasad, ale RODO pozostawia każdej firmie pewną swobodę w zakresie decyzji, w jaki sposób to zrobić.

Stawka jest wysoka, a RODO nakłada znaczne kary za nieprzestrzeganie przepisów. Najpoważniejsze naruszenia mogą skutkować karami finansowymi w wysokości do 20,000,000 4 XNUMX EUR lub XNUMX% światowego światowego obrotu organizacji w poprzednim roku. Organy regulacyjne RODO mogą również zakończyć nielegalne przetwarzanie danych i zmusić organizacje do wprowadzenia zmian.

Poniższa lista kontrolna obejmuje podstawowe regulacje RODO. Sposób, w jaki organizacja spełnia te przepisy, będzie zależał od jej wyjątkowych okoliczności, w tym od rodzaju gromadzonych danych i sposobu, w jaki je wykorzystuje.

Podstawy RODO

RODO ma zastosowanie do każdej organizacji z siedzibą na terenie Europejskiego Obszaru Gospodarczego (EOG). EOG obejmuje wszystkie 27 państw członkowskich UE oraz Islandię, Liechtenstein i Norwegię.

RODO ma zastosowanie również do organizacji spoza EOG, jeśli:

• Firma regularnie oferuje towary lub usługi mieszkańcom EOG, nawet jeśli nie dokonuje się wymiany pieniędzy.
• Firma regularnie monitoruje aktywność mieszkańców EOG, m.in. za pomocą śledzących plików cookie.
• Spółka przetwarza dane w imieniu firmy z siedzibą na terenie EOG.

RODO nie dotyczy tylko firm wykorzystujących dane klientów w celach komercyjnych. Dotyczy niemal każdej organizacji przetwarzającej dane mieszkańców EOG w dowolnym celu. Szkoły, szpitale i agencje rządowe podlegają przepisom RODO.

Jedynymi działaniami związanymi z przetwarzaniem danych wyłączonymi z RODO są działania związane z bezpieczeństwem narodowym lub egzekwowaniem prawa oraz wykorzystanie danych o charakterze czysto osobistym.

Przydatne definicje

W RODO posługuje się specyficzną terminologią. Aby zrozumieć wymagania dotyczące zgodności, organizacje muszą zrozumieć, co te terminy oznaczają w tym kontekście.

RODO definiuje dane personalne jako wszelkie informacje dotyczące możliwej do zidentyfikowania osoby ludzkiej. Wszystko, od adresów e-mail po opinie polityczne, liczy się jako dane osobowe.

A osoba, której dane dotyczą jest człowiekiem, który jest właścicielem danych. Inaczej mówiąc, jest to osoba, której dane dotyczą. Załóżmy, że firma zbiera numery telefonów, aby wysyłać wiadomości marketingowe za pośrednictwem wiadomości SMS. Właściciele tych numerów telefonów byliby osobami, których dane dotyczą.

Kiedy RODO odnosi się do osób, których dane dotyczą, oznacza to osoby, których dane dotyczą, zamieszkujące na terenie EOG. Podmioty nie muszą być obywatelami UE, aby mieć prawo do prywatności danych na mocy RODO. Muszą jedynie być mieszkańcami EOG.

A administrator danych to jakakolwiek organizacja, grupa lub osoba, która pozyskuje dane osobowe i ustala sposób ich wykorzystania. Wracając do poprzedniego przykładu, administratorem byłaby firma gromadząca numery telefonów w celach marketingowych. 

Przetwarzanie danych to jakiekolwiek działania podejmowane na danych, w tym ich gromadzenie, przechowywanie lub analizowanie. A procesor danych to jakakolwiek organizacja lub podmiot wykonujący takie działania.

Firma może być zarówno administratorem, jak i podmiotem przetwarzającym, podobnie jak firma, która zarówno gromadzi numery telefonów, jak i wykorzystuje je do wysyłania wiadomości marketingowych. Podmioty przetwarzające obejmują również strony trzecie, które przetwarzają dane w imieniu administratorów, na przykład usługę przechowywania w chmurze, która hostuje bazę danych numerów telefonów innej firmy.

Organy nadzorcze to organy regulacyjne, które egzekwują wymogi RODO. Każdy kraj EOG ma swój własny organ nadzorczy.

Poznaj rozwiązania w zakresie bezpieczeństwa i ochrony danych

Lista kontrolna zgodności z RODO

Na wysokim poziomie organizacja jest zgodna z RODO, jeśli:

• Przestrzega zasad przetwarzania danych
• Stoi na straży praw osób, których dane dotyczą
• Stosuje odpowiednie środki bezpieczeństwa danych
• Przestrzega zasad przesyłania i udostępniania danych

Poniższa lista kontrolna szczegółowo opisuje te wymagania. Praktyczne kroki, jakie organizacja podejmie w celu spełnienia tych wymagań, będą zależeć między innymi od jej lokalizacji, zasobów i działań związanych z przetwarzaniem danych.

Zasady przetwarzania danych

RODO ustanawia zbiór zasad, których muszą przestrzegać organizacje przetwarzające dane osobowe. Zasady są następujące.

Organizacja posiada zgodną z prawem podstawę do przetwarzania danych.

RODO określa okoliczności, w jakich firmy mogą legalnie przetwarzać dane osobowe. Przed zebraniem jakichkolwiek danych organizacja musi ustalić i udokumentować swoją podstawę prawną. Organizacja musi poinformować o tej podstawie użytkowników w momencie gromadzenia danych. Nie może zmienić podstawy po fakcie, chyba że ma na to zgodę użytkownika.

Możliwe podstawy prawne obejmują:

• Organizacja posiada zgodę podmiotu na przetwarzanie jego danych. Należy pamiętać, że zgoda użytkownika jest ważna tylko wtedy, gdy jest świadoma, potwierdzająca i dobrowolna.
  • Świadoma zgoda oznacza, że ​​firma jasno wyjaśnia, jakie dane gromadzi i w jaki sposób będzie je wykorzystywać.
  • Zgoda potwierdzająca oznacza, że ​​użytkownik musi podjąć celowe działanie, aby wyrazić zgodę, na przykład podpisując oświadczenie lub zaznaczając odpowiednie pole. Zgoda nie może być opcją domyślną.
  • Dobrowolnie wyrażona zgoda oznacza, że ​​firma nie podejmuje prób wywierania wpływu na osobę, której dane dotyczą, ani jej wymuszania. Podmiot musi mieć możliwość wycofania swojej zgody w dowolnym momencie.

• Organizacja ma prawny obowiązek przetwarzania danych.

• Organizacja musi przetwarzać dane w celu ochrony życia osoby, której dane dotyczą, lub innej osoby.

• Organizacja przetwarza dane ze względu na interes publiczny, taki jak dziennikarstwo lub zdrowie publiczne.

• Organizacja jest organem publicznym przetwarzającym dane w celu pełnienia funkcji urzędowej.

• Organizacja przetwarza dane w celu realizacji prawnie uzasadnionego interesu.
  • A uzasadniony interes to korzyść, jaką administrator lub inna strona może uzyskać w wyniku przetwarzania danych. Przykładami mogą być sprawdzanie przeszłości pracowników lub śledzenie adresów IP w sieci firmowej bezpieczeństwo cybernetyczne cele. Aby powołać się na uzasadniony interes, organizacja musi udowodnić, że przetwarzanie jest konieczne i nie narusza praw podmiotów. 

Organizacja zbiera dane w określonym celu i tylko w tym celu je wykorzystuje.

Zgodnie z zasadą celowości RODO administratorzy muszą mieć zidentyfikowany i udokumentowany cel gromadzenia danych. Administrator musi poinformować użytkowników o tym celu w momencie ich gromadzenia i może wykorzystywać dane wyłącznie w tym określonym celu.

Organizacja gromadzi jedynie minimalną niezbędną ilość danych.

Administratorzy mogą zbierać jedynie minimalną ilość danych niezbędną do osiągnięcia określonego celu.

Organizacja dba o dokładność i aktualność danych.

Administratorzy muszą podjąć rozsądne kroki, aby mieć pewność, że przechowywane przez nich dane osobowe są dokładne i aktualne. 

Organizacja usuwa dane, gdy nie są już potrzebne.

RODO wymaga rygorystycznych zasad przechowywania i usuwania danych. Firmy mogą przechowywać dane wyłącznie do czasu osiągnięcia określonego celu ich gromadzenia i muszą je usunąć, gdy nie są już potrzebne.

Organizacja podejmuje dodatkowe środki ostrożności podczas przetwarzania danych dzieci lub danych kategorii specjalnej.

Administratorzy i podmioty przetwarzające muszą stosować dodatkowe zabezpieczenia niektórych rodzajów danych osobowych.

Kategoria specjalna dane obejmują bardzo wrażliwe dane, takie jak rasa i dane biometryczne danej osoby. Organizacje mogą przetwarzać dane kategorii specjalnej jedynie w bardzo ograniczonych okolicznościach, np. w celu zapobieżenia poważnym zagrożeniom zdrowia publicznego. Firmy mogą również przetwarzać dane kategorii specjalnej za wyraźną zgodą podmiotu.

Dane dotyczące wyroków skazujących mogą być kontrolowane wyłącznie przez władze publiczne. Podmioty przetwarzające mogą przetwarzać te informacje wyłącznie na polecenie organu publicznego.

Administratorzy muszą uzyskać zgodę rodzica przed przetwarzaniem dane dzieci. Muszą podjąć rozsądne kroki w celu sprawdzenia wieku badanych i tożsamości rodziców. W przypadku gromadzenia danych od dzieci administratorzy muszą przedstawić informacje o ochronie prywatności w języku przyjaznym dzieciom.

Każde państwo EOG ustala własną definicję „dziecka” w ramach RODO. Obejmują one zakres od „każda osoba poniżej 13 roku życia” do „każda osoba poniżej 16 roku życia”. 

Organizacja dokumentuje wszystkie czynności związane z przetwarzaniem danych.

Organizacje zatrudniające więcej niż 250 pracowników muszą prowadzić rejestr przetwarzania danych. Organizacje zatrudniające mniej niż 250 pracowników muszą prowadzić rejestr, jeśli przetwarzają dane szczególnie wrażliwe, przetwarzają dane regularnie lub przetwarzają dane w sposób stwarzający znaczne ryzyko dla osób, których dane dotyczą.

Administratorzy muszą dokumentować takie rzeczy, jak gromadzone dane, to, co z nimi robią, mapy przepływu danych i zabezpieczenia danych. Podmioty przetwarzające muszą dokumentować administratorów, dla których pracują, rodzaje przetwarzania, jakie wykonują dla każdego administratora oraz stosowane przez siebie mechanizmy bezpieczeństwa.

Ostateczną odpowiedzialność za zapewnienie zgodności ponosi administrator. 

Zgodnie z RODO ostateczna odpowiedzialność za zgodność z przepisami spoczywa na administratorze danych. Oznacza to, że administrator musi zapewnić – i być w stanie udowodnić – że jego zewnętrzne podmioty przetwarzające spełniają wszystkie odpowiednie wymogi RODO. 

Prawa osób, których dane dotyczą

RODO przyznaje osobom, których dane dotyczą, pewne prawa w stosunku do ich danych. Administratorzy i podmioty przetwarzające muszą przestrzegać tych praw.

Organizacja oferuje osobom, których dane dotyczą, łatwe sposoby korzystania ze swoich praw.

Organizacje muszą zapewnić osobom, których dane dotyczą, prosty sposób dochodzenia swoich praw do swoich danych. Prawa te obejmują:

• Prawo dostępu: Podmioty muszą mieć możliwość zażądania i otrzymania kopii swoich danych, a także odpowiednich informacji o tym, w jaki sposób firma wykorzystuje dane.

• Prawo do sprostowania: Podmioty muszą mieć możliwość poprawienia lub aktualizacji swoich danych.

• Prawo do usunięcia: Podmioty muszą mieć możliwość zażądania usunięcia swoich danych. 

• Prawo do ograniczenia przetwarzania: Podmioty muszą mieć możliwość ograniczenia sposobu wykorzystywania ich danych, jeśli podejrzewają, że są one niedokładne, niepotrzebne lub wykorzystywane niewłaściwie. 

• Prawo do sprzeciwu: Podmioty muszą mieć możliwość sprzeciwu wobec przetwarzania. Podmioty, które wyraziły wcześniej zgodę, muszą mieć możliwość łatwego jej wycofania w dowolnym momencie.

• Prawo do przenoszenia danych: Podmioty mają prawo do przenoszenia swoich danych, a administratorzy i podmioty przetwarzające muszą ułatwiać to przekazywanie.

Ogólnie rzecz biorąc, organizacje muszą odpowiedzieć na wszystkie wnioski o dostęp osób, których dane dotyczą, w ciągu 30 dni. Firmy muszą zazwyczaj zastosować się do prośby podmiotu, chyba że mogą udowodnić, że mają uzasadniony, nadrzędny powód, aby tego nie robić.

Jeśli organizacja odrzuci wniosek, musi wyjaśnić dlaczego. Organizacja musi także poinformować podmiot, w jaki sposób może odwołać się od decyzji do inspektora ochrony danych w firmie lub odpowiedniego organu nadzorczego.

Organizacja oferuje osobom, których dane dotyczą, możliwość kwestionowania zautomatyzowanych decyzji.

Zgodnie z RODO osoby, których dane dotyczą, mają prawo nie być związane zautomatyzowanymi procesami decyzyjnymi, które mogłyby mieć na nie znaczący wpływ. Obejmuje to profilowanie, które RODO definiuje jako wykorzystywanie automatyzacji do oceny niektórych aspektów danej osoby, np. przewidywania jej wyników w pracy.

Jeżeli organizacja rzeczywiście korzysta z decyzji zautomatyzowanych, musi zapewnić osobom, których dane dotyczą, możliwość zakwestionowania tych decyzji. Podmioty mogą również poprosić pracownika o sprawdzenie wszelkich zautomatyzowanych decyzji, które mają na nie wpływ.

Organizacja przejrzyście informuje o tym, w jaki sposób wykorzystuje dane osobowe.

Administratorzy i podmioty przetwarzające muszą proaktywnie i jasno informować osoby, których dane dotyczą, o działaniach związanych z przetwarzaniem danych, w tym o zbieranych przez nich danych, tym, co z nimi robią oraz w jaki sposób podmioty mogą wykonywać swoje prawa do danych.

Informacje te należy zazwyczaj przekazać w formie informacji o ochronie prywatności przedstawianej osobie zainteresowanej podczas gromadzenia danych. Jeżeli firma nie zbiera danych osobowych bezpośrednio od podmiotów, w ciągu miesiąca należy do nich przesłać informacje dotyczące prywatności. Firmy mogą również uwzględnić te dane w politykach prywatności, które są publicznie dostępne na ich stronach internetowych. 

Środki ochrony i prywatności danych

RODO nakłada na administratorów i podmioty przetwarzające obowiązek podjęcia kroków mających na celu zapobieganie niewłaściwemu wykorzystaniu danych osobowych i ochronę osób, których dane dotyczą, przed krzywdą.

Organizacja wdrożyła odpowiednie mechanizmy kontroli cyberbezpieczeństwa.

Kontrolery i procesory muszą zostać wdrożone Środki bezpieczeństwa w celu ochrony poufności i integralności danych osobowych. RODO nie wymaga żadnych szczególnych kontroli, ale stanowi, że przedsiębiorstwa muszą przyjąć zarówno środki techniczne, jak i organizacyjne.

Środki techniczne obejmują rozwiązania technologiczne, takie jak zarządzanie tożsamością i dostępem platformy (IAM), automatyczne kopie zapasowe i narzędzia bezpieczeństwa danych. Chociaż RODO nie nakłada wyraźnego obowiązku szyfrowanie danych, zaleca jednak, aby organizacje stosowały pseudonimizację i anonimizację, gdy tylko jest to możliwe.

Środki organizacyjne obejmują szkolenia pracowników, ciągłe ocena ryzyka oraz inne zasady i procesy bezpieczeństwa. Firmy muszą także przestrzegać zasady ochrony danych już od samego początku projektowania i domyślnie podczas tworzenia lub wdrażania nowych systemów i produktów.

Organizacja przeprowadza oceny skutków dla ochrony danych (DPIA) zgodnie z wymaganiami.

Jeżeli firma planuje przetwarzać dane w sposób stwarzający duże ryzyko dla praw podmiotów, musi najpierw przeprowadzić ocenę skutków dla ochrony danych (DPIA). Rodzaje przetwarzania, które mogą skutkować DPIA, obejmują między innymi zautomatyzowane profilowanie i przetwarzanie na dużą skalę specjalnych kategorii danych osobowych.

Ocena skutków dla ochrony danych musi opisywać wykorzystywane dane, zamierzony sposób przetwarzania i cel przetwarzania. Musi identyfikować ryzyko przetwarzania i sposoby ograniczania tego ryzyka. Jeżeli istnieje znaczące, nieograniczone ryzyko, organizacja musi skonsultować się z organem nadzorczym przed podjęciem dalszych działań.

W razie potrzeby organizacja wyznaczyła inspektora ochrony danych (DPO).

Organizacja musi wyznaczyć inspektora ochrony danych (DPO), jeśli monitoruje podmioty na dużą skalę lub przetwarza dane kategorii specjalnej w ramach swojej podstawowej działalności. Wszystkie organy publiczne muszą również wyznaczyć inspektorów ochrony danych.

DPO jest odpowiedzialny za zapewnienie zgodności organizacji z RODO. Kluczowe obowiązki obejmują koordynację z organami ochrony danych, doradzanie organizacji w zakresie wymogów RODO i nadzorowanie ocen skutków dla ochrony danych.

DPO musi być niezależnym urzędnikiem podlegającym bezpośrednio kierownictwu najwyższego szczebla. Organizacja nie może podejmować działań odwetowych wobec DPO za wykonywanie jego obowiązków.

Organizacja powiadamia organy nadzorcze i osoby, których dane dotyczą, w przypadku wystąpienia naruszenia bezpieczeństwa danych.

Organizacje muszą zgłaszać większość naruszenia danych osobowych właściwemu organowi nadzorczemu w ciągu 72 godzin. Jeżeli naruszenie stwarza ryzyko dla osób, których dane dotyczą, organizacja musi również powiadomić te osoby. Organizacje muszą powiadomić zainteresowane osoby bezpośrednio, chyba że bezpośrednia komunikacja byłaby nieuzasadniona; w takim przypadku dopuszczalne jest ogłoszenie publiczne.

Podmioty przetwarzające, które doświadczyły naruszenia, muszą bez zbędnej zwłoki powiadomić odpowiednich administratorów.

Jeżeli organizacja znajduje się poza EOG, organizacja wyznaczyła przedstawiciela w EOG.

Każda firma spoza EOG, która regularnie przetwarza dane mieszkańców EOG lub przetwarza dane szczególnie wrażliwe, musi wyznaczyć przedstawiciela na terenie EOG. Przedstawiciel współpracuje z organami rządowymi w imieniu firmy i pełni funkcję punktu kontaktowego w sprawach związanych ze zgodnością z RODO.

Przesyłanie i udostępnianie danych

RODO określa zasady udostępniania przez organizacje danych osobowych innym firmom na terenie EOG i poza nim.

Organizacja korzysta z formalnych umów o przetwarzaniu danych, aby regulować relacje z podmiotami przetwarzającymi.

Administrator może udostępniać dane osobowe podmiotom przetwarzającym i innym stronom trzecim, jednak relacje te muszą być regulowane formalnymi umowami o powierzenie przetwarzania danych. Umowy te muszą określać prawa i obowiązki wszystkich stron w odniesieniu do RODO.

Zewnętrzne podmioty przetwarzające mogą przetwarzać dane wyłącznie zgodnie z poleceniami administratora. Nie mogą wykorzystywać danych administratora do własnych celów. Przed udostępnieniem danych podprzetwarzającemu podmiot przetwarzający musi uzyskać zgodę administratora.

Organizacja realizuje wyłącznie zatwierdzone transfery danych poza EOG.

Administrator może udostępnić dane stronie trzeciej znajdującej się poza EOG jedynie wówczas, gdy przekazanie danych spełnia co najmniej jedno z poniższych kryteriów:

• Komisja Europejska uznała, że ​​przepisy dotyczące ochrony danych obowiązujące w kraju, w którym znajduje się osoba trzecia, są odpowiednie.
• Komisja Europejska uznała, że ​​strona trzecia posiada odpowiednie zasady i mechanizmy kontroli w zakresie ochrony danych.
• Administrator podjął wszelkie niezbędne kroki, aby zapewnić bezpieczeństwo i prywatność przekazywanych danych.

Poznaj rozwiązania zapewniające zgodność z RODO

Zgodność z RODO to proces ciągły, a wymagania organizacji mogą się zmieniać w miarę gromadzenia nowych danych i podejmowania nowych rodzajów działań związanych z przetwarzaniem.

Rozwiązania w zakresie bezpieczeństwa danych i zapewniania zgodności, takie jak IBM Security® Guardium®, mogą pomóc usprawnić proces osiągania i utrzymywania zgodności z RODO. Guardium może automatycznie wykrywać dane podlegające przepisom RODO, egzekwować zasady zgodności dla tych danych, monitorować wykorzystanie danych i umożliwiać organizacjom reagowanie na zagrożenia dla bezpieczeństwa danych.

Dowiedz się więcej o pakiecie produktów IBM zapewniających bezpieczeństwo danych i zgodność z przepisami.