Wdrożenie RODO w praktyce powinno sprowadzać się do wprowadzenia odpowiednich procedur adekwatnych do zagrożeń, jakie zdefiniowane są w oparciu o analizę ryzyka. Nie ma jednego scenariusza, który można zastosować do każdego Administratora danych osobowych (a więc podmiotu, który decyduje o celach i sposobach przetwarzania danych), a każde wdrożenie powinno być traktowane jako sprawa indywidualna.
RODO to nie tylko dokumenty. Nie ufaj firmom, które zapewniają o wdrożeniu RODO wyłącznie przez przygotowanie szablonu dokumentów, które we własnym zakresie uzupełnisz. Takie działanie może często spowodować dużo więcej szkód, niż faktycznego pożytku, szczególnie jeżeli przygotowane w szablonach procedury będą nieadekwatne do panującej w Twojej organizacji rzeczywistości.
O ile nie ma jednego scenariusza wdrożenia, o tyle można założyć, że w każdym przypadku należy zweryfikować określone obszary, w określony sposób.
Poniżej przedstawiam checklistę czynności, jakie należy wykonać chcąc wdrożyć RODO w swojej organizacji. Pamiętaj, że ta checklista w określonych przypadkach może nie wyczerpywać wszystkich czynności, jakie powinny zostać wykonane, ponieważ może okazać się, że jako Administrator danych osobowych możesz być zobowiązany do dalszych działań m.in. dlatego, że w Twoich zasobach przetwarzane są szczególne kategorie danych osobowych, w tym dane wrażliwe lub przetwarzasz dane w sposób, który może powodować ryzyko naruszenia podstawowych praw i wolności osób, których dane dotyczą. Będzie się tak działo, np. jeżeli dokonujesz profilowania danych osobowych.
Wierzę, że ta krótka publikacja okaże się przydatna. Zapraszam do lektury.
Checklista najważniejszych zagadnień.
- Określ, jakie kategorie danych osobowych przetwarzasz, a także jakie są źródła danych w Twojej organizacji Na samym początku musisz przeanalizować, jakie dane znajdują się w Twojej organizacji, ocenić czy nie są to szczególne kategorie danych osobowych, w tym dane wrażliwe, a także z jakich źródeł one pochodzą. Takie działanie pozwoli Ci poprawnie przejść przez wdrożenie RODO
- Ustal podstawy do przetwarzania danych osobowych przez Twoją organizację Podstawą do przetwarzania danych osobowych, wbrew powszechnej opinii, nie jest tylko zgoda na ich przetwarzanie. RODO przewiduje 6 przesłanek, kiedy faktycznie do przetwarzania może dojść i są to odpowiednio: zgoda na przetwarzanie danych osobowych, realizacja umowy lub czynności wykonywane bezpośrednio przed jej zawarciem, obowiązek prawny nałożony na Administratora, ochrona żywotnych interesów osoby, której dane dotyczą, zadania realizowane w interesie publicznym, prawnie uzasadniony interes Administratora. Po przeanalizowaniu kategorii i źródeł przetwarzania danych osobowych należy określić, jaka jest podstawa do ich przetwarzania. Pamiętaj, że jeżeli żadna z podstaw nie wpisuje się w Twoją działalność, to oznacza, że nie możesz przetwarzać określonych danych zgodnie z prawem.
- Przeprowadź analizę ryzyka – kiedy będziesz wiedział, jakie dane znajdują się w zasobach Twojej organizacji, będziesz mógł określić, jakie procesy na danych osobowych wykonujesz, a także określić ryzyko związane z przetwarzaniem wcześniej zdefiniowanych danych, tak aby na tej podstawie wdrożyć RODO oraz wymagane zabezpieczenia do Twojej organizacji.
- Wyznacz zbiory danych osobowych – dane osobowe, które przetwarzasz mogą mieć wspólny mianownik, cel, w którym dane te są przez Twoją organizację przetwarzane. Warto określić, ile i jakie zbiory danych osobowych są przetwarzane właśnie z uwzględnieniem kryterium celu. Dla przykładu w sklepie internetowym mogą wystąpić zbiory klientów, kontrahentów, subskrybentów newslettera, uczestników konkursów, uczestników programów lojalnościowych, pracowników etc.
- Wprowadź procedury, które zapewnią odpowiednie bezpieczeństwo przetwarzania danych osobowych – RODO nie wymaga, aby procedury miały sformalizowaną formę. Trzeba jednak pamiętać, że to Administrator danych osobowych odpowiedzialny jest za wykazanie, że RODO stosuje. Dodatkowo, warto mieć na uwadze, że przy organizacjach zatrudniających pracowników, spisane procedury będą łatwiejsze do zastosowania i ewentualnej aktualizacji. W RODO ustawodawca rekomenduje wprowadzanie tzw. polityk ochrony danych osobowych.
- Uwzględniaj ochronę danych osobowych w fazie projektowania – sprowadza się to m.in. do stosowania zasady privacy by design oraz privacy by default. Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową. Zasada privacy by default, zakłada ochronę prywatności jako domyślne ustawienie każdego programu (systemu), a zmiana takiego ustawienia powinna następować jedynie na wyraźne żądanie użytkownika programu.
- Ustal kategorie podmiotów, którym dane osobowe mogą być przekazywane W ramach działalności może okazać się, że powierzasz komuś do przetwarzania zgromadzone przez siebie dane osobowe lub ujawniasz je jakimś podmiotom trzecim. W tym pierwszym przypadku w zgodzie z RODO korzystasz z tzw. podmiotów przetwarzających. W drugim przypadku ujawniasz dane tzw. odbiorcom. Obie sytuacje muszą być uzasadnione, a możliwość wykonywania tego typu operacji musi mieć podstawę w postaci tzw. umowy powierzenia danych osobowych lub podstawie do ujawniania danych do odbiorców. Zidentyfikowanie tego typu podmiotów jest kluczowe w zapewnieniu bezpieczeństwa przetwarzania, a także w wykazaniu, że faktycznie panujesz nad tym, jak dane osobowe mają być przetwarzane.
- Prowadź rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania danych osobowych Konieczność prowadzenia wspomnianych rejestrów wynika wprost z RODO, a ma zapewnić przejrzystość przetwarzania danych osobowych, kontrolę sposobu ich przetwarzania przez Administratora, a także w łatwy sposób wskazać Urzędowi Ochrony Danych Osobowych stan faktyczny dotyczący zabezpieczenia danych osobowych. Same rejestry nie są nigdzie zgłaszane i powinny być stale prowadzone i aktualizowane przez Administratora danych osobowych.
- Zabezpiecz dane osobowe przed dostępem osób nieupoważnionych RODO nie nakłada konkretnych obowiązków związanych ze sposobem zabezpieczenia danych. Nie sugeruj się sloganami producentów oprogramowania lub fizycznych środków ochrony, że ich produkt jest „zgodny z RODO”. O tym czy dane oprogramowanie jest zgodne z RODO oraz zapewnia odpowiedni stopień ochrony decyduje Administrator danych osobowych korzystający z określonego rozwiązania. Najważniejsze jest zapewnienie ograniczonego dostępu do danych dla osób, które nie są do tego upoważnione.
- Prowadź rejestr naruszeń bezpieczeństwa danych osobowych Każdy administrator danych musi w razie potrzeby odnotowywać incydenty związane z naruszeniem bezpieczeństwa przetwarzania danych osobowych. Prowadzenie rejestru naruszeń wynika wprost z RODO, a służyć ma poprawie bezpieczeństwa przetwarzania danych. W rejestrze powinny być odnotowywane wszystkie incydenty związane z naruszeniem, a nie tylko te które były zgłaszane do Urzędu Ochrony Danych Osobowych.
- Określ dostęp do danych osobowych dla poszczególnych członków zespołu Do każdego zbioru mogą mieć dostęp różni członkowie naszego zespołu, w zgodzie z RODO dostęp do danych osobowych mogą mieć tylko osoby upoważnione do ich przetwarzania, przez Administratora. Musisz określić, kto z członków Twojego zespołu będzie miał dostęp do poszczególnych danych, a jednocześnie, w razie kontroli, wykazać, że dostęp określonego członka zespołu do konkretnych danych, jest uzasadniony. Pamiętaj, że upoważnienie do przetwarzania danych innych pracowników, musi mieć formę pisemną.
- Minimalizuj przetwarzania danych osobowych – w każdym zbiorze danych osobowych muszą się znajdować tylko te kategorie danych osobowych, których przetwarzanie jest faktycznie uzasadnione. Dla przykładu w zbiorze danych osobowych subskrybentów newslettera mogą znajdować się np. imię i nazwisko i adres e-mail, ale pobieranie szerszej kategorii danych np. numeru PESEL, nie jest już uzasadnione. Pamiętaj, że w określonych przypadkach te przepisy szczególne będą określały, jakie dane i w jakim zakresie możemy przetwarzać np. Kodeks pracy w stosunku do danych pracowników.
- Ogranicz cel przetwarzania danych – w każdym zbiorze dane osobowe mogą być przetwarzane tylko w celu, do którego zostały one pobrane. Nie jest możliwym, aby przetwarzać dane w innym celu, niż faktycznie pobraliśmy je od osób, których dane dotyczą.
- Zadbaj o poprawność przetwarzanych danych – jako Administrator danych osobowych musisz zadbać o poprawność przetwarzanych danych osobowych, a to oznacza, że musisz je przechowywać w taki sposób, aby zapewnić, że dane osobowe nie ulegną zmianie lub nie będą zawierały błędów. Dodatkowo, w przypadku jeżeli osoba której dane dotyczą zgłosi się do Ciebie z prośbą o aktualizację danych, musisz spełnić jej żądanie bez zbędnej zwłoki.
- Ogranicz czas przechowywania danych osobowych – stwórz procedury, które pozwolą jasno określić czas przechowywania danych osobowych. Czas musi być zminimalizowany i adekwatny do celu przetwarzania. Pamiętaj jednak, że wiele przepisów szczególnych nakłada na administratorów obowiązek przetwarzania danych przez dany okres, np. ustawa o rachunkowości w przypadku przechowywania faktur VAT.
- Spełniaj obowiązek informacyjny wobec osób, których dane dotyczą – obowiązek informacyjny to szczegółowe informacje, jakie administrator musi przekazać każdej osobie, której dane dotyczą. Przykładem obowiązku informacyjnego są np. polityki prywatności umieszczane na stronach internetowych. Trzeba pamiętać, że obowiązek informacyjny musi zostać spełniony wobec każdej osoby, której dane dotyczą, a powiązany powinien być z celem przetwarzania danych osobowych. W praktyce oznacza to, że wyłącznie stworzenie polityki prywatności i umieszczenie jej na stronie internetowej może okazać się niewystarczające.
- Spełniaj prawa osób, których dane dotyczą – w zgodzie z postanowieniami RODO każda osoba, której dane dotyczą, ma prawo do dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych (prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu. Administrator musi umożliwić spełnić powyższe uprawnienia w określonym czasie, który musi być jak najkrótszy i nie może przekroczyć 1 miesiąca lub w określonych sytuacjach kolejnych 2 miesięcy.
- Współpracuj tylko z zaufanymi podwykonawcami – w przypadku powierzenia danych osobowych do przetwarzania, to na administratorze danych osobowych spoczywa obowiązek zapewnienia, że jego podwykonawcy będą działali w sposób zgodny z prawem. W praktyce oznacza to, że jeżeli wybierzesz nierzetelnych podwykonawców do współpracy, możesz za ich sprawą dostać karę ze strony UODO. Pamiętaj, że poza wyborem właściwego podwykonawcy powinieneś z nim również zawrzeć umowę powierzenia przetwarzania danych osobowych.
- Stale doskonal systemy bezpieczeństwa – RODO nie określa wprost w jakim czasie systemy powinny być udoskonalane. Nie mniej jednak warto w ramach procedur określić okres, w którym systemy będą podlegały weryfikacji oraz określić sytuacje, w których udoskonalanie systemów bezpieczeństwa będzie musiało mieć miejsce.
- Współpracuj z Urzędem Ochrony Danych Osobowych – szczególnie istotna jest współpraca w przypadku naruszenia bezpieczeństwa przetwarzania danych osobowych. W określonych sytuacjach administrator danych osobowych zobowiązany jest do poinformowania Urzędu Ochrony Danych Osobowych np. o wycieku danych osobowych. Zgłoszenie musi nastąpić niezwłocznie, nie później niż w ciągu 72 godzin od momentu, w którym administrator dowiedział się o naruszeniu bezpieczeństwa.
- Informuj osoby, których dane dotyczą o incydentach naruszenia bezpieczeństwa przetwarzania danych osobowych – podobnie jak w przypadku konieczności informowania Urzędu Ochrony Danych Osobowych, w określonych przypadkach, musisz poinformować osoby, których dane dotyczą, o tym, że bezpieczeństwo przetwarzania ich danych mogło zostać zagrożone.
- Zadbaj o to, aby pracownicy Twojej organizacji stosowali się do wdrożonych procedur – w samym RODO nie ma wymagania, aby każdy z pracowników organizacji legitymował się jakimś specjalnym certyfikatem, czy potwierdzeniem uczestniczenia w szkoleniu. Warto jednak zdawać sobie sprawę z faktu, że Administrator danych osobowych odpowiada za to, jak jego pracownicy przetwarzają dane osobowe oraz czy zapewniają bezpieczeństwo ich przetwarzania w zgodzie z ustalonymi procedurami. Szkolić pracowników warto, ale ważne jest też, aby szkolenie to obejmowało swym zakresem stworzone przez Ciebie procedury, a nie było tylko czysto teoretycznym wykładem, dotyczącym RODO. Pamiętaj, że jeżeli Twój pracownik naruszy bezpieczeństwo przetwarzania danych osobowych, to Ty jako administrator, w większości przypadków, będziesz musiał wziąć za to odpowiedzialność.
Jakub Szajdziński
Specjalizuję się w pomocy prawnej na rzecz przedsiębiorstw z sektora nowych technologii, IT, e-commerce, web&mobile, a także obsłudze spółek prawa handlowego.