Pierwsze kroki z RODO

Skoro tutaj trafiłeś, najprawdopodobniej mierzysz się (lub będziesz mierzyć) z dostosowaniem swojego podmiotu do wymagań stawianych przez RODO. Aby wesprzeć Cię w przygotowaniach do tego wyzwania, prezentujemy zestaw praktycznych wzorów dokumentów, narzędzi oraz wskazówek i instrukcji. Krok po kroku pomogą Ci one w wypełnieniu podstawowych obowiązków spoczywających na Twojej organizacji na gruncie obowiązujących przepisów o ochronie danych osobowych.

Fundamenty

Aby rozpocząć działania zmierzające do stworzenia dobrze funkcjonującego systemu ochrony danych osobowych w Twojej firmie, musisz przede wszystkim wiedzieć, jaką rolę w nim odgrywasz. Niezależnie od tego, czy prowadzisz działalność jednoosobowo, w formie spółki, stowarzyszenia, fundacji czy organu publicznego, jeśli przetwarzasz w związku z tym dane osobowe (choćby swoich pracowników), stajesz się administratorem danych osobowych. Jest to centralny podmiot ustalający cele i sposoby przetwarzania danych, równocześnie je nadzorujący, co pociąga za sobą liczne zadania, których niewykonanie może rodzić szereg negatywnych konsekwencji, w tym astronomiczne kary pieniężne.

Oczywiście zasadniczy akt, którego znajomość jest nieodłączna przy dostosowywaniu organizacji do aktualnych wymogów prawnych (a także na dalszym etapie – przy utrzymywaniu zgodności), to RODO. Jego treść udostępniamy bezpłatnie w opracowaniu „RODO nawigator”, które możesz znaleźć pod tym linkiem . Zawiera ono zaktualizowany tekst RODO (ze sprostowaniem wydanym przez Komisję Europejską), treść ustawy z 10 maja 2018 r. o ochronie danych osobowych, listę najważniejszych wytycznych Grupy Roboczej Art. 29 oraz Europejskiej Rady Ochrony Danych wraz z linkami do ich pobrania, interaktywne powiązania pomiędzy RODO a ustawą o ochronie danych osobowych oraz interaktywne powiązania pomiędzy RODO a konkretnymi wytycznymi, które wyjaśniają, jak je stosować.

Najważniejszy pierwszy krok

Jak wiadomo, same suche przepisy nie wystarczą, aby odpowiednio wdrożyć RODO w firmie. Jeśli zatem podejmiemy decyzję o rozpoczęciu tego procesu, konieczne jest opracowanie planu, na podstawie którego będzie on realizowany. Na kompleksowe przygotowanie organizacji składa się kilka elementów, m.in. przeszkolenie pracowników, sporządzenie dokumentacji czy audyt. w pierwszej kolejności szczególną uwagę należy zwrócić na ostatni z przywołanych elementów, pozwalający zbadać i ocenić stan organizacji w obszarze zarówno formalnoprawnym, jak i IT oraz w zakresie stosowanych zabezpieczeń fizycznych. Bez audytu niemożliwe jest podjęcie dalszych kroków zmierzających do osiągnięcia obranego celu.

Wymaga podkreślenia to, że z każdego audytu przeprowadzanego przez profesjonalny podmiot – taki jak ODO 24 – sporządzany jest raport zgodności z zasadami ochrony danych osobowych. Nie sposób pominąć, że audyt nie ogranicza się do dokonania wskazanej oceny. Treść raportu z działań zespołu audytowego obejmuje przede wszystkim rekomendacje oraz propozycje konkretnych rozwiązań i ulepszeń pozwalających osiągnąć zgodność funkcjonowania organizacji z RODO, a równocześnie zminimalizować ryzyka związane z przetwarzaniem danych osobowych.

Ryzyko? Do analizy!

Organizacje wykonujące operacje na danych osobowych lub zestawach danych osobowych na gruncie RODO są co do zasady zobowiązane do zarządzania ryzykiem przetwarzania tych danych. Głównym instrumentem pozwalającym administratorowi na wywiązanie się z tej powinności jest ocena skutków dla ochrony danych (DPIA). To element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, dokonywany poprzez analizę operacji przetwarzania w konkretnej jednostce. 

Informacja to podstawa

Po wejściu w życie RODO znacząco wzrosła ilość informacji, jakie należy przekazywać osobom fizycznym, których dane dotyczą. Klauzula informacyjna powinna zawierać m.in.:

  • dane administratora danych,
  • kontakt do inspektora ochrony danych (o ile został powołany),
  • cel przetwarzania,
  • podstawę prawną przetwarzania,
  • czas, przez jaki dane będą przetwarzane,
  • informacje o przysługujących osobie fizycznej prawach w związku z przetwarzaniem jej danych osobowych.

Wszystkim przedsiębiorcom, którzy nie dostosowali jeszcze treści klauzul informacyjnych do wymogów RODO, polecamy artykuł „Klauzule RODO”, wyjaśniający, jak spełnić obowiązek informacyjny i jakie dane podawać.

Gdy powierzasz dane innym

W nowoczesnym modelu zarządzania przedsiębiorstwem za optymalne rozwiązanie przyjmuje się korzystanie z usług outsourcingu, co implikuje przekazywanie coraz większej ilości danych osobowych w ramach np. obsługi kadrowo-płacowej, wsparcia w prowadzeniu serwisów internetowych bądź mediów społecznościowych, działań promocyjno-marketingowych czy serwisu IT. w artykule „Powierzenie przetwarzania danych osobowych – czym dokładnie jest i kiedy je stosujemy? ” wyjaśniamy, co jest istotą powierzenia przetwarzania danych i kiedy do niego dochodzi.

Aby powierzanie danych podmiotom zewnętrznym było zgodne z RODO, musi odbywać się na podstawie umowy lub innego instrumentu prawnego. Przepis art. 28 RODO wskazuje obligatoryjne elementy, które powinny znaleźć się w umowie powierzenia przetwarzania danych osobowych. Wzór spełniający wymogi prawa możesz znaleźć w tekście „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – udostępniamy gotowy wzór” .

Oprócz zawarcia odpowiedniej umowy ważnym zadaniem administratora danych jest weryfikacja podmiotu przetwarzającego. Podmiot, z którego usług korzysta administrator, powinien bowiem zapewniać odpowiednie środki techniczne i organizacyjne pozwalające zabezpieczyć udostępniane dane. RODO jednak nie precyzuje, w jaki sposób administrator powinien zbadać i ocenić podmiot, któremu powierzy przetwarzanie swoich danych osobowych.

Pamiętaj o rejestrach

Wśród obowiązków, które przepisy RODO nałożyły zarówno na administratorów, jak i na podmioty przetwarzające (czyli podmioty, którym administrator zleca przetwarzanie danych, np. w ramach outsourcingu księgowości czy obsługi kadrowej), znajduje się prowadzenie rejestrów – odpowiednio rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania.

Prowadzony przez administratora rejestr czynności przetwarzania to dokument, który powinien zawierać m.in.:

  • tożsamość oraz dane kontaktowe administratora,
  • cele przetwarzania danych,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa.

Trzeba pamiętać, że przedmiotowe rejestry to jedne z pierwszych dokumentów, o które może poprosić pracownik UODO podczas kontroli, gdyż pozwalają one na najlepsze rozeznanie w procesach przetwarzania danych osobowych w organizacji. Nie należy więc lekceważyć obowiązku ich prowadzenia. w tekście „Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO”  nie tylko wyjaśniamy, jakie korzyści może przynieść organizacji prowadzenie rejestru, lecz także podajemy przykładowe wpisy, którymi możesz się zainspirować podczas budowania rejestrów dla własnej organizacji.

Po co ta dokumentacja?

Pełna dokumentacja ochrony danych osobowych, którą powinno przygotować kierownictwo organizacji, może składać się nawet z kilkudziesięciu różnego rodzaju dokumentów. To zbiór polityk, regulaminów oraz procedur, których opracowanie i wdrożenie jest nieodłącznym warunkiem zapewnienia zgodności organizacji z RODO. Mając świadomość, jak wymagające jest to zadanie, dzielimy się z Tobą naszym doświadczeniem w artykule „Jak stworzyć użyteczną dokumentację ochrony danych?”, zawierającym  wskazówki dotyczące tego, jakie dokumenty i w jaki sposób należy przygotować.

IT równie istotne

Nie sposób zaprzeczyć, że właściwa dokumentacja stanowi jeden z trzonów systemu ochrony danych osobowych. Niemniej w toku konstruowania jego struktury osoby odpowiedzialne za organizację nie mogą zapomnieć o odpowiednim przygotowaniu drugiego z kluczowych obszarów, którym jest szeroko pojęte IT. Praca nad tą gałęzią jest o tyle trudna, że RODO jest aktem neutralnym technologicznie, niewskazującym wprost, jakich środków należy użyć, aby osiągnąć zgodność z przepisami.

W opracowaniu „Sprawdzenie jakości wdrożenia RODO w obszarze IT” –  przygotowanym przez naszych ekspertów w tej dziedzinie – tłumaczymy, jak dokonać oceny stopnia dostosowania systemów teleinformatycznych do wymogów RODO. Warto zapoznać się także z przeanalizowanymi przez zespół ODO 24 podstawami i założeniami decyzji Prezesa UODO nakładającej na administratora karę pieniężną za niewystarczające zabezpieczenia w sferze IT.

W artykule „Kara UODO za brak prawidłowego mechanizmu uwierzytelniającego”  omawiamy przyczyny wydania przedmiotowej decyzji przez organ nadzorczy, a przede wszystkim podpowiadamy, co zrobić, aby uniknąć nałożenia podobnej kary.

Jak z tym wszystkim sobie poradzić?

Trudno powiedzieć, czy RODO ma więcej przeciwników, czy zwolenników. Pewne jest jednak to, że nikt (choćby tego chciał) nie może przejść obok tematu ochrony danych osobowych obojętnie. Dlatego też tak istotne jest budowanie świadomości w tym obszarze – zarówno wśród administratorów czy innych osób mających do czynienia z danymi na co dzień, jak i wśród podmiotów danych osobowych, czyli osób fizycznych, którym przysługują określone uprawnienia na gruncie RODO.

Administrator – sprawujący nadzór nad przetwarzaniem danych osobowych – nie może zapomnieć o edukacji pracowników. Niestety najczęściej to właśnie ludzie są najsłabszym ogniwem, a ich błędy są przyczyną większości incydentów i naruszeń ochrony danych osobowych. Przychodząc w sukurs pracodawcom, proponujemy szeroki wachlarz szkoleń , w tym szkolenia otwarte, zamknięte oraz e-learning, spośród których każdy na pewno znajdzie model odpowiedni do potrzeb swojego podmiotu.

Jedną z najważniejszych osób, która powinna zostać wyznaczona w każdej organizacji, jest inspektor ochrony danych (IOD). Jego rolą jest zadbanie o to, aby jednostka funkcjonowała na co dzień w zgodzie z zasadami ochrony danych osobowych. Realizowane przez niego zadania to przede wszystkim bieżące doradzanie tak pracodawcy, jak jego pracownikom, a także informowanie ich i szkolenie. Ponadto IOD przeprowadza cyklicznie wewnętrzne audyty i systematycznie ocenia zgodność organizacji z RODO, wskazując pola do poprawy i wydając odpowiednie rekomendacje w tym zakresie. w razie potrzeby pośredniczy w kontaktach z Prezesem UODO i wspiera organizację podczas kontroli przeprowadzanej przez organ nadzorczy.

Należy jednak mieć na uwadze, że duża odpowiedzialność IOD, wiążąca się z wykonywaniem wskazanych zadań, niesie za sobą konieczność posiadania szerokiej, a przede wszystkim funkcjonalnej wiedzy, którą trudno uzyskać własnymi siłami. Kompleksowe przygotowanie do tej roli zapewnia nasz akredytowany czterodniowy kurs dla inspektorów ochrony danych  (skierowany również do innych osób zajmujących się ochroną danych w organizacji bądź wspierających IOD). Wyczerpująco zaprezentowaliśmy w nim teorię, którą połączyliśmy z praktyką.

Podsumowanie

Uwzględniając powyższe, nie sposób zaprzeczyć, że zarządzających, którzy chcą osiągnąć i zachować zgodność z RODO, czeka wiele skomplikowanych zadań, takich jak tworzenie rejestrów i ewidencji, szkolenie pracowników, nadawanie upoważnień czy reagowanie na incydent. w uzyskaniu kontroli nad przetwarzaniem danych osobowych w organizacji może pomóc niezawodna aplikacja – ODO Nawigator.  To przydatne narzędzie, za którego pośrednictwem administrator samodzielnie wypełni szereg spoczywających na nim obowiązków.

Choć wykorzystanie proponowanych dokumentów oraz pozostałych instrumentów stanowi niekwestionowaną pomoc dla osób odpowiedzialnych za ochronę danych osobowych, zdajemy sobie sprawę z tego, że nawet najbardziej doświadczony menedżer może pogubić się w gąszczu przepisów i wynikających z nich licznych wymogów. Dlatego jeśli potrzebujesz wsparcia – np. w realizacji któregokolwiek ze wskazanych zadań, w kompleksowym wdrożeniu RODO, przeprowadzeniu analizy ryzyka albo w wykonywaniu funkcji IOD – służymy pomocą!

Mówiąc o pomocy, nie można pominąć oferowanych przez nas bezpłatnych porad  prawnych i informatycznych. w razie pojawienia się wątpliwości w trakcie Twojej (lub Twoich pracowników) pracy z danymi osobowymi zachęcamy do zadawania pytań za pośrednictwem formularza zamieszczonego na stronie ODO 24.  Odpowiedzi udzielają nasi eksperci – będący doświadczonymi praktykami w swoich dziedzinach.

Mamy nadzieję, że dzięki dostarczonemu przez nas wsparciu bez trudu poradzisz sobie ze stawianiem pierwszych kroków w RODO, a ochrona danych osobowych stanie się dla Ciebie najprostszym i najprzyjemniejszym z obowiązków – niezależnie od tego, czy jesteś RODO-entuzjastą, czy RODO-sceptykiem.

You Might Also Like