wiadomosc
2021-05-10

Jak poprawnie wdrożyć RODO organizacji?

Jakub-Sz

Jakub Szajdziński

Specjalizuję się w pomocy prawnej na rzecz przedsiębiorstw z sektora nowych technologii, IT, e-commerce, web&mobile, a także obsłudze spółek prawa handlowego.

jak-poprawnie-wdrozyc-rodo-organizacji

Wdrożenie RODO w praktyce powinno sprowadzać się do wprowadzenia odpowiednich procedur adekwatnych do zagrożeń, jakie zdefiniowane są w oparciu o analizę ryzyka. Nie ma jednego scenariusza, który można zastosować do każdego Administratora danych osobowych (a więc podmiotu, który decyduje o celach i sposobach przetwarzania danych), a każde wdrożenie powinno być traktowane jako sprawa indywidualna.  

RODO to nie tylko dokumenty. Nie ufaj firmom, które zapewniają o wdrożeniu RODO wyłącznie przez przygotowanie szablonu dokumentów, które we własnym zakresie uzupełnisz. Takie działanie może często spowodować dużo więcej szkód, niż faktycznego pożytku, szczególnie jeżeli przygotowane w szablonach procedury będą nieadekwatne do panującej w Twojej organizacji rzeczywistości. 

O ile nie ma jednego scenariusza wdrożenia, o tyle można założyć, że w każdym przypadku należy zweryfikować określone obszary, w określony sposób. 

Poniżej przedstawiam checklistę czynności, jakie należy wykonać chcąc wdrożyć RODO w swojej organizacji. Pamiętaj, że ta checklista w określonych przypadkach może nie wyczerpywać wszystkich czynności, jakie powinny zostać wykonane, ponieważ może okazać się, że jako Administrator danych osobowych możesz być zobowiązany do dalszych działań m.in. dlatego, że w Twoich zasobach przetwarzane są szczególne kategorie danych osobowych, w tym dane wrażliwe lub przetwarzasz dane w sposób, który może powodować ryzyko naruszenia podstawowych praw i wolności osób, których dane dotyczą. Będzie się tak działo, np. jeżeli dokonujesz profilowania danych osobowych. 

Wierzę, że ta krótka publikacja okaże się przydatna. Zapraszam do lektury. 

Checklista najważniejszych zagadnień. 

  • Określ, jakie kategorie danych osobowych przetwarzasz, a także jakie są źródła danych w Twojej organizacji Na samym początku musisz przeanalizować, jakie dane znajdują się w Twojej organizacji, ocenić czy nie są to szczególne kategorie danych osobowych, w tym dane wrażliwe, a także z jakich źródeł one pochodzą. Takie działanie pozwoli Ci poprawnie przejść przez wdrożenie RODO 
  • Ustal podstawy do przetwarzania danych osobowych przez Twoją organizację Podstawą do przetwarzania danych osobowych, wbrew powszechnej opinii, nie jest tylko zgoda na ich przetwarzanie. RODO przewiduje 6 przesłanek, kiedy faktycznie do przetwarzania może dojść i są to odpowiednio: zgoda na przetwarzanie danych osobowych, realizacja umowy lub czynności wykonywane bezpośrednio przed jej zawarciem, obowiązek prawny nałożony na Administratora, ochrona żywotnych interesów osoby, której dane dotyczą, zadania realizowane w interesie publicznym, prawnie uzasadniony interes Administratora.  Po przeanalizowaniu kategorii i źródeł przetwarzania danych osobowych należy określić, jaka jest podstawa do ich przetwarzania. Pamiętaj, że jeżeli żadna z podstaw nie wpisuje się w Twoją działalność, to oznacza, że nie możesz przetwarzać określonych danych zgodnie z prawem.  
  • Przeprowadź analizę ryzyka – kiedy będziesz wiedział, jakie dane znajdują się w zasobach Twojej organizacji, będziesz mógł określić, jakie procesy na danych osobowych wykonujesz, a także określić ryzyko związane z przetwarzaniem wcześniej zdefiniowanych danych, tak aby na tej podstawie wdrożyć RODO oraz wymagane zabezpieczenia do Twojej organizacji. 
  • Wyznacz zbiory danych osobowych – dane osobowe, które przetwarzasz mogą mieć wspólny mianownik, cel, w którym dane te są przez Twoją organizację przetwarzane. Warto określić, ile i jakie zbiory danych osobowych są przetwarzane właśnie z uwzględnieniem kryterium celu. Dla przykładu w  sklepie internetowym mogą wystąpić zbiory klientów, kontrahentów, subskrybentów newslettera, uczestników konkursów, uczestników programów lojalnościowych, pracowników etc. 
  • Wprowadź procedury, które zapewnią odpowiednie bezpieczeństwo przetwarzania danych osobowych – RODO nie wymaga, aby procedury miały sformalizowaną formę. Trzeba jednak pamiętać, że to Administrator danych osobowych odpowiedzialny jest za wykazanie, że RODO stosuje. Dodatkowo, warto mieć na uwadze, że przy organizacjach zatrudniających pracowników, spisane procedury będą łatwiejsze do zastosowania i ewentualnej aktualizacji. W RODO ustawodawca rekomenduje wprowadzanie tzw. polityk ochrony danych osobowych. 
  • Uwzględniaj ochronę danych osobowych w fazie projektowania – sprowadza się to m.in. do stosowania zasady privacy by design oraz privacy by default. Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową. Zasada privacy by default, zakłada ochronę prywatności jako domyślne ustawienie każdego programu (systemu), a zmiana takiego ustawienia powinna następować jedynie na wyraźne żądanie użytkownika programu. 
  • Ustal kategorie podmiotów, którym dane osobowe mogą być przekazywane  W ramach działalności może okazać się, że powierzasz komuś do przetwarzania zgromadzone przez siebie dane osobowe lub ujawniasz je jakimś podmiotom trzecim. W tym pierwszym przypadku w zgodzie z RODO korzystasz z tzw. podmiotów przetwarzających. W drugim przypadku ujawniasz dane tzw. odbiorcom. Obie sytuacje muszą być uzasadnione, a możliwość wykonywania tego typu operacji musi mieć podstawę w postaci tzw. umowy powierzenia danych osobowych lub podstawie do ujawniania danych do odbiorców. Zidentyfikowanie tego typu podmiotów jest kluczowe w zapewnieniu bezpieczeństwa przetwarzania, a także w wykazaniu, że faktycznie panujesz nad tym, jak dane osobowe mają być przetwarzane. 
  • Prowadź rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania danych osobowych  Konieczność prowadzenia wspomnianych rejestrów wynika wprost z RODO, a ma zapewnić przejrzystość przetwarzania danych osobowych, kontrolę sposobu ich przetwarzania przez Administratora, a także w łatwy sposób wskazać Urzędowi Ochrony Danych Osobowych stan faktyczny dotyczący zabezpieczenia danych osobowych. Same rejestry nie są nigdzie zgłaszane i powinny być stale prowadzone i aktualizowane przez Administratora danych osobowych. 
  • Zabezpiecz dane osobowe przed dostępem osób nieupoważnionych RODO nie nakłada konkretnych obowiązków związanych ze sposobem zabezpieczenia danych. Nie sugeruj się sloganami producentów oprogramowania lub fizycznych środków ochrony, że ich produkt jest „zgodny z RODO”. O tym czy dane oprogramowanie jest zgodne z RODO oraz zapewnia odpowiedni stopień ochrony decyduje Administrator danych osobowych korzystający z określonego rozwiązania. Najważniejsze jest zapewnienie ograniczonego dostępu do danych dla osób, które nie są do tego upoważnione. 
  • Prowadź rejestr naruszeń bezpieczeństwa danych osobowych Każdy administrator danych musi w razie potrzeby odnotowywać incydenty związane z naruszeniem bezpieczeństwa przetwarzania danych osobowych. Prowadzenie rejestru naruszeń wynika wprost z RODO, a służyć ma poprawie bezpieczeństwa przetwarzania danych. W rejestrze powinny być odnotowywane wszystkie incydenty związane z naruszeniem, a nie tylko te które były zgłaszane do Urzędu Ochrony Danych Osobowych. 
  • Określ dostęp do danych osobowych dla poszczególnych członków zespołu Do każdego zbioru mogą mieć dostęp różni członkowie naszego zespołu, w zgodzie z RODO dostęp do danych osobowych mogą mieć tylko osoby upoważnione do ich przetwarzania, przez Administratora. Musisz określić, kto z członków Twojego zespołu będzie miał dostęp do poszczególnych danych, a jednocześnie, w razie kontroli, wykazać, że dostęp określonego członka zespołu do konkretnych danych, jest uzasadniony. Pamiętaj, że upoważnienie do przetwarzania danych innych pracowników, musi mieć formę pisemną. 
  • Minimalizuj przetwarzania danych osobowych – w każdym zbiorze danych osobowych muszą się znajdować tylko te kategorie danych osobowych, których przetwarzanie jest faktycznie uzasadnione. Dla przykładu w zbiorze danych osobowych subskrybentów newslettera mogą znajdować się np. imię i nazwisko i adres e-mail, ale pobieranie szerszej kategorii danych np. numeru PESEL, nie jest już uzasadnione. Pamiętaj, że w określonych przypadkach te przepisy szczególne będą określały, jakie dane i w jakim zakresie możemy przetwarzać np. Kodeks pracy w stosunku do danych pracowników. 
  • Ogranicz cel przetwarzania danych – w każdym zbiorze dane osobowe mogą być przetwarzane tylko w celu, do którego zostały one pobrane. Nie jest możliwym, aby przetwarzać dane w innym celu, niż faktycznie pobraliśmy je od osób, których dane dotyczą. 
  • Zadbaj o poprawność przetwarzanych danych – jako Administrator danych osobowych musisz zadbać o poprawność przetwarzanych danych osobowych, a to oznacza, że musisz je przechowywać w taki sposób, aby zapewnić, że dane osobowe nie ulegną zmianie lub nie będą zawierały błędów. Dodatkowo, w przypadku jeżeli osoba której dane dotyczą zgłosi się do Ciebie z prośbą o aktualizację danych, musisz spełnić jej żądanie bez zbędnej zwłoki. 
  • Ogranicz czas przechowywania danych osobowych – stwórz procedury, które pozwolą jasno określić czas przechowywania danych osobowych. Czas musi być zminimalizowany i adekwatny do celu przetwarzania. Pamiętaj jednak, że wiele przepisów szczególnych nakłada na administratorów obowiązek przetwarzania danych przez dany okres, np. ustawa o rachunkowości w przypadku przechowywania faktur VAT. 
  • Spełniaj obowiązek informacyjny wobec osób, których dane dotyczą – obowiązek informacyjny to szczegółowe informacje, jakie administrator musi przekazać każdej osobie, której dane dotyczą. Przykładem obowiązku informacyjnego są np. polityki prywatności umieszczane na stronach internetowych. Trzeba pamiętać, że obowiązek informacyjny musi zostać spełniony wobec każdej osoby, której dane dotyczą, a powiązany powinien być  z celem przetwarzania danych osobowych. W praktyce oznacza to, że wyłącznie stworzenie polityki prywatności i umieszczenie jej na stronie internetowej może okazać się niewystarczające. 
  • Spełniaj prawa osób, których dane dotyczą – w zgodzie z postanowieniami RODO każda osoba, której dane dotyczą, ma prawo do dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych (prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu. Administrator musi umożliwić spełnić powyższe uprawnienia w określonym czasie, który musi być jak najkrótszy i nie może przekroczyć 1 miesiąca lub w określonych sytuacjach kolejnych 2 miesięcy. 
  • Współpracuj tylko z zaufanymi podwykonawcami – w przypadku powierzenia danych osobowych do przetwarzania, to na administratorze danych osobowych spoczywa obowiązek zapewnienia, że jego podwykonawcy będą działali w sposób zgodny z prawem. W praktyce oznacza to, że jeżeli wybierzesz nierzetelnych podwykonawców do współpracy, możesz za ich sprawą dostać karę ze strony UODO. Pamiętaj, że poza wyborem właściwego podwykonawcy powinieneś z nim również zawrzeć umowę powierzenia przetwarzania danych osobowych. 
  • Stale doskonal systemy bezpieczeństwa – RODO nie określa wprost w jakim czasie systemy powinny być udoskonalane. Nie mniej jednak warto w ramach procedur określić okres, w którym systemy będą podlegały weryfikacji oraz określić sytuacje, w których udoskonalanie systemów bezpieczeństwa będzie musiało mieć miejsce. 
  • Współpracuj z Urzędem Ochrony Danych Osobowych – szczególnie istotna jest współpraca w przypadku naruszenia bezpieczeństwa przetwarzania danych osobowych. W określonych sytuacjach administrator danych osobowych zobowiązany jest do poinformowania Urzędu Ochrony Danych Osobowych np. o wycieku danych osobowych. Zgłoszenie musi nastąpić niezwłocznie, nie później niż w ciągu 72 godzin od momentu, w którym administrator dowiedział się o naruszeniu bezpieczeństwa. 
  • Informuj osoby, których dane dotyczą o incydentach naruszenia bezpieczeństwa przetwarzania danych osobowych – podobnie jak w przypadku konieczności informowania Urzędu Ochrony Danych Osobowych,  w określonych przypadkach, musisz poinformować osoby, których dane dotyczą, o tym, że bezpieczeństwo przetwarzania ich danych mogło zostać zagrożone. 
  • Zadbaj o to, aby pracownicy Twojej organizacji stosowali się do wdrożonych procedur – w samym RODO nie ma wymagania, aby każdy z pracowników organizacji legitymował się jakimś specjalnym certyfikatem, czy potwierdzeniem uczestniczenia w szkoleniu. Warto jednak zdawać sobie sprawę z faktu, że Administrator danych osobowych odpowiada za to, jak jego pracownicy przetwarzają dane osobowe oraz czy zapewniają bezpieczeństwo ich przetwarzania w zgodzie z ustalonymi procedurami. Szkolić pracowników warto, ale ważne jest też, aby szkolenie to obejmowało swym zakresem stworzone przez Ciebie procedury, a nie było tylko czysto teoretycznym wykładem, dotyczącym RODO. Pamiętaj, że jeżeli Twój pracownik naruszy bezpieczeństwo przetwarzania danych osobowych, to Ty jako administrator, w większości przypadków, będziesz musiał wziąć za to odpowiedzialność. 
Jakub-Sz

Jakub Szajdziński

Specjalizuję się w pomocy prawnej na rzecz przedsiębiorstw z sektora nowych technologii, IT, e-commerce, web&mobile, a także obsłudze spółek prawa handlowego.

Poprzedni post

Następny post

Napisz do nas!

sprawdźmy jak możemy Ci pomóc

Najczęściej zadawane pytania (F.A.Q)

Jak skontaktować się w sprawie pomocy prawnej?

Najlepiej skorzystaj z formularza kontaktowego – to najszybszy i najbardziej efektywny sposób kontaktu, ponieważ wiadomość trafi bezpośrednio do osób odpowiedzialnych za udzielenie odpowiedzi, a nie do naszego sekretariatu. W treści wiadomości krótko opisz zagadnienie, do którego potrzebna jest nasza pomoc. Jeżeli opisany stan sprawy wymaga doprecyzowania, prześlemy dodatkowe pytania, które pozwolą nam udzielić bardziej szczegółowej odpowiedzi, a tym samym lepiej poznać zagadnienie w którym mielibyśmy pomóc. W sprawach pilnych, prosimy o kontakt telefoniczny na numer: +48 519 56 36 26.

W jakim czasie mogę otrzymać informację zwrotną na temat mojego zapytania?

W większości przypadków, udzielamy odpowiedzi, z informacją na temat wymaganego zakresu pracy z naszej strony, a także jej kosztów, w ciągu 1–2 dni roboczych. Jeśli zagadnienie jest bardziej skomplikowane, czas odpowiedzi może wydłużyć się do 3–4 dni roboczych. W pilnych sprawach polecamy kontakt telefoniczny na numer: +48 519 56 36 26.

Jak wygląda rozpoczęcie współpracy?

W odpowiedzi na przesłane zapytanie, wskazujemy jaki jest zakres prac do wykonania oraz związane z tym koszty. Po akceptacji naszej propozycji współpracy i kosztów z nią związanych, realizujemy zlecenie. W zależności od preferencji naszych Klientów, prace mogą być prowadzone na podstawie akceptacji mailowej warunków lub po zawarciu umowy w formie pisemnej. Niezależnie od formy akceptacji, prace rozpoczynamy zawsze, dopiero po wyrażeniu zgody przez Klienta.

Jak ustalane są koszty?

Koszty ustalamy podstawie czasu potrzebnego na realizację danego zlecenia. Co ważne, na samym początku informujemy o pełnym koszcie zlecenia, aby nasi Klienci nie obawiali się niespodziewanych wydatków. Jeśli zlecenie wymaga dodatkowej pracy, np. z powodu zmiany założeń biznesowych, w trakcie jego realizacji, informujemy o tym Klienta i dodatkowe prace są wykonywane tylko po uzyskaniu akceptacji.

Czy przed rozpoczęciem współpracy wymagane jest osobiste spotkanie?

Nie. Spotkanie osobiste jest potrzebne jedynie w przypadku bardziej skomplikowanych zagadnień. W przypadku zleceń dotyczących przygotowania dokumentów, takich jak umowy, regulaminy, dokumentacja RODO, ochrona sygnalistów, czy nawet przygotowanie umowy spółki z o.o., osobiste spotkanie przed rozpoczęciem przez nas pracy, nie jest konieczne. Jeżeli spotkanie usprawniłoby realizację usługi, na pewno je zaproponujemy.

Czy mogę uzyskać poradę prawną online lub telefonicznie?

Tak. Większość kontaktów z naszymi Klientami odbywa się online, dzięki czemu obsługujemy firmy z całej Polski, a nawet spoza jej granic. Mając na uwadze, jak cenny jest czas przedsiębiorców, staramy się unikać marnowania go, na niepotrzebne dojazdy i bezpośrednie spotkania, o ile faktycznie nie jest to konieczne. Porady prawne online udzielamy głównie pisemnie, zazwyczaj drogą mailową. Spotkanie online lub rozmowa telefoniczna organizowane są w razie potrzeby np. doprecyzowania porady lub omówienia zagadnienia jej krótszej lub łatwiejszej w przekazie formie, zwłaszcza jeżeli wskażesz na taką potrzebę.

Gdzie można się spotkać z prawnikiem?

Spotkanie może odbyć się w naszym biurze we Wrocławiu przy ul. Żmigrodzkiej 83. Jeżeli prowadzisz działalność na terenie Wrocławia lub w jego okolicach, możemy się spotkać w siedzibie Twojej firmy lub innym wskazanym miejscu. Ważne, aby miejsce spotkania zapewniało możliwość swobodnej rozmowy. Nie zamykamy się na spotkania w innych częściach Polski ale robimy to kiedy faktycznie sprawa tego wymaga, aby nie generować niepotrzebnych kosztów wobec naszych Klientów. Możemy się również spotkać online za pomocą MS Teams, Google Meets lub innego komunikatora.

Jak przygotować się do spotkania?

Przede wszystkim nie musisz się obawiać samego spotkania. Jesteśmy takimi samymi ludźmi jak Ty, a naszym pierwszorzędnym celem jest pomoc, będąc zawsze po Twojej stronie. Używamy prostego i zrozumiałego języka, a definicje prawne tłumaczymy zawsze w sposób przystępny i zrozumiały . Przed spotkaniem warto zebrać wszystkie istotne informacje dotyczące sprawy. Z reguły nie jest wymagane potwierdzenie tych informacji dokumentami, ale jeśli mają one istotne znaczenie w sprawie, np. umowy czy decyzje administracyjne, najlepiej jest je przesłać do nas przed spotkaniem, na adres mailowy, osoby odpowiedzialnej za Twoje zlecenie. W razie braku możliwości przesłania dokumentów elektronicznie, warto zabrać je ze sobą na spotkanie. W razie konkretnych pytań do nas, dobrze jest je sformułować prostym, zrozumiałym językiem i wysłać mailem do nas, przed spotkaniem. Wcześniejsze dostarczenie dokumentów lub pytań nie jest konieczne, ale pozwala nam na bardziej efektywną pomoc już podczas samego spotkania. Jeżeli po spotkaniu konieczne będzie podsumowanie, doprecyzowanie lub weryfikacja pewnych kwestii, prześlemy dodatkowe informacje drogą mailową lub telefoniczną, w zależności od Twoich preferencji.