GDPR — fundament ochrony danych w firmie
Rozporządzenie GDPR obowiązuje bezpośrednio w Polsce od 25 maja 2018 r. Dotyczy każdego przedsiębiorcy przetwarzającego dane osobowe — niezależnie od wielkości firmy. Kary sięgają 20 mln EUR lub 4% globalnego obrotu.
Obowiązki administratora danych
Prowadzenie rejestru czynności przetwarzania (RCP), zapewnienie podstawy prawnej dla każdego procesu przetwarzania, realizacja praw osób (dostęp, sprostowanie, usunięcie, przenoszenie), zawieranie umów powierzenia (DPA) z procesorami, wdrożenie odpowiednich środków technicznych i organizacyjnych.
Dokumentacja GDPR — minimum
Polityka ochrony danych, rejestr czynności przetwarzania, klauzule informacyjne, umowy powierzenia, procedura obsługi żądań osób, procedura zgłaszania naruszeń (72h), analiza ryzyka (DPIA dla operacji wysokiego ryzyka).
Inspektor Ochrony Danych (IOD/DPO)
Obowiązkowy gdy: przetwarzanie prowadzi organ publiczny, główna działalność wymaga regularnego monitorowania osób na dużą skalę, lub przetwarzane są dane szczególnych kategorii na dużą skalę. Wielu pracodawców wyznacza IOD dobrowolnie — ułatwia compliance i kontakt z UODO.
Najczęstsze naruszenia w polskich firmach
Brak aktualnych klauzul informacyjnych na stronie www, zbieranie zgód „na zapas" (brak minimalizacji), przechowywanie danych bez ograniczenia czasowego (brak retencji), brak szyfrowania laptopów i nośników, wysyłanie maili z danymi osobowymi do niewłaściwych adresatów.
Audyt GDPR — od czego zacząć
Inwentaryzacja procesów przetwarzania, weryfikacja podstaw prawnych, przegląd umów z podwykonawcami, ocena zabezpieczeń technicznych, szkolenie pracowników. Audyt nie musi być drogi — ale musi być regularny.
Potrzebujesz audytu GDPR lub kompletnej dokumentacji? Skontaktuj się — pomogę wdrożyć compliance krok po kroku.