RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE to rozporządzenie unijne, które zaczęło obowiązywać od 25 maja 2018 roku. Nowe przepisy zastąpiły dotychczasowe regulacje dotyczące ochrony danych osobowych, tym samym przedsiębiorcy zostali zobligowani do wprowadzenia odpowiednich procedur oraz systemów ochrony bezpieczeństwa danych osobowych, które są przetwarzane w ramach firmy. W poniższym artykule wskazuję jakie kroki powinien podjąć przedsiębiorca jako administrator danych osobowych, aby wdrożyć odpowiednie procedury bezpieczeństwa, spełniające prawne wymagania.
Przede wszystkim należy podkreślić, że wdrożenie RODO nie polega jedynie na sporządzeniu odpowiedniej dokumentacji, ochrona danych osobowych w firmie powinna być postrzegana jako ciągły proces – odpowiednie dokumenty to jedno, ważne aby w przedsiębiorstwie zostały wdrożone odpowiednie procedury bezpieczeństwa, które będą funkcjonować na stałe. Od czego zacząć? Poniżej przedstawiono krótki poradnik, wskazujący jakie kroki należy podjąć przed wdrożeniem RODO w organizacji.
- Przeanalizuj jakie dane osobowe i w jaki sposób są przetwarzane
W pierwszej kolejności należy określić:
- Jakie dane są przetwarzane w firmie i czy wśród nich są dane wrażliwe?
Zgodnie z art. 9 RODO dane wrażliwe to dane dotyczące pochodzenia rasowego lub etnicznego, przekonań religijnych, poglądów politycznych lub światopoglądowych, dane dotyczące przynależności do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące seksualności lub orientacji seksualnej oraz dane dotyczące zdrowia. Powyższe dane mogą być przetwarzane tylko w szczególnych przypadkach, wskazanych w rozporządzeniu.
- Jaka jest podstawa prawna przetwarzania danych?
Dane osobowe są przetwarzane zgodnie z prawem, kiedy jesteś w stanie wskazać podstawę prawną ich przetwarzania. W RODO wymieniono sześć sytuacji, w których dane mogą być przetwarzane legalnie:
- Osoba której dane są przetwarzane wyraziła zgodę na przetwarzanie
- Przetwarzanie danych jest niezbędne, aby wykonać umowę lub podjąć działania na żądanie osoby, której dane dotyczą
- Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który ciąży na administratorze
- Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej
- Przetwarzanie jest niezbędne do wykonania zadania realizowane przez administratora w interesie publicznym lub w ramach sprawowania władzy publicznej
- Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionego celu administratora.
Wiele osób błędnie zakłada, że aby przetwarzać dane osobowe zawsze, bezwzględnie potrzebna jest zgoda osoby, której dane są przetwarzane, jak jednak wynika z powyższego, takie rozumowanie jest niesłuszne. Znając podstawy przetwarzania danych, zweryfikuj jakie jest źródło przetwarzanych danych, tj. ustal skąd dane pochodzą i czy zostały uzyskane zgodnie z przepisami.
- Jakie czynności są dokonywane na danych osobowych?
Zgodnie z przepisami administrator danych osobowych powinien prowadzić rejestr czynności przetwarzania danych, w tym też celu należy ustalić jakie operacje przetwarzania są dokonywane na gromadzonych danych osobowych. Pamiętaj, że przetwarzanie danych jest równoznaczne z wszelkimi procesami, które dochodzą w związku z wykorzystaniem tych danych, pod pojęciem przetwarzania należy więc rozumieć m.in.: zbieranie, porządkowanie, utrwalanie, przechowywanie, udostępnianie. Rejestr czynności przetwarzania nie tylko zapewni przejrzystość oraz kontrolę nad procesem przetwarzania danych, ale także pozwoli w łatwy sposób wykazać jak wygląda proces przetwarzania danych w razie kontroli.
Rejestr czynności powinien zawierać następujące informacje:
- Jakie dane są przetwarzane i w jakim celu
- Kto je przetwarza – należy wskazać nie tylko administratora, ale również podmioty przetwarzające którym powierzono dane
- Czy dane są udostępniane podmiotom trzecim
- Czy dane są udostępniane do państw trzecich
- Jaki jest okres przetwarzania danych
- W jaki sposób dane są zabezpieczone
2. Ustal kategorię podmiotów, którym powierzasz dane
Podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu administratora. Administrator powierza mu konkretne dane osobowe w konkretnym celu – Podmiot przetwarzający nie może więc wykonywać na nich dowolnych działań, może je przetwarzać jedynie w celu wskazanym przez administratora. Podmiotem przetwarzającym może być np. zewnętrzna księgowość, czy hostingodawca. W związku z tym, że podmiot przetwarzający uzyskuje dostęp do danych osobowych, administrator powinien zawrzeć z nim stosowną umowę, w której zostaną określone obowiązki stron w związku z przetwarzaniem danych, a także oświadczenia stron dotyczące stosowania odpowiednich zabezpieczeń powierzonych danych.
3. Przeanalizuj ryzyko
Wiesz jakie dane są przetwarzane, w jakim celu i jakie operacje są na nich dokonywane, następnym krokiem będzie przeprowadzenie analizy ryzyka. W pierwszej kolejności zidentyfikuj jakie jest ryzyko naruszenia ochrony danych tj. określ jakie są możliwe przyczyny wystąpienia zagrożenia, jaki jest to rodzaj zagrożenia oraz jakie są potencjalne następstwa. Następnie przeprowadź analizę powyższych informacji, zweryfikuj jakie jest prawdopodobieństwo wystąpienia zagrożenia oraz jaka jest waga ryzyka (jak wielkie są konsekwencje wystąpienia danego zagrożenia). Dokonana analiza ryzyka pozwoli na wprowadzenie odpowiednich procedur oraz zabezpieczeń.
4. Zabezpiecz dane przed dostępem osób nieupoważnionych
Przepisy nie narzucają konkretnych sposobów zabezpieczenia danych. Administrator powinien dopasować zabezpieczenia pod kątem przeprowadzonej wcześniej analizy ryzyka. Ważne jest, aby do danych nie miały dostępu osoby nieupoważnione, czyli np. osoby spoza organizacji. W tym celu należy wprowadzić zabezpieczenia techniczne (np. zabezpieczenia w postaci ograniczenia dostępu do pomieszczenia, w którym przechowywane są dane) oraz odpowiednie procedury postępowania w firmie (np. zasada czystego biurka). W fazie ustalania zabezpieczeń, należy przeanalizować również którzy pracownicy potrzebują dostępu do konkretnych danych w celu wypełnienia swoich obowiązków służbowych i w tym kontekście nadać im stosowne uprawnienia dostępu. Nie powinno być tak, że każdy pracownik ma dostęp do wszystkich danych przetwarzanych przez firmę, dostęp powinien być uzasadniony, zatem powinny go mieć te osoby, które faktycznie potrzebują go w swojej codziennej pracy. Ponadto pracodawca powinien podpisać ze swoimi pracownikami odpowiednie upoważnienia, w których wskazane będzie jakie dane może przetwarzać dany pracownik i jakie są jego obowiązki w związku z przetwarzaniem danych.
5. Zadbaj o świadomość pracowników
Administrator danych osobowych odpowiada za to, aby dane były przetwarzane zgodnie z przepisami, dlatego też powinien przeszkolić swoich pracowników w zakresie bezpieczeństwa przetwarzania danych. W firmie wiele osób ma dostęp do konkretnych danych osobowych, w ramach zajmowanego stanowiska, ważne jest aby każda z tych osób wiedziała w jaki sposób postępować, aby dane były przetwarzane w sposób bezpieczny i zgodny z założonymi celami.
6.Sprawdź czy potrzebny jest Inspektor.
Inspektor ochrony danych osobowych to osoba wspierająca administratora danych osobowych w realizacji obowiązków, wynikających z przepisów dot. ochrony danych osobowych. Inspektor monitoruje proces przetwarzania danych w firmie, przede wszystkim czuwa nad tym aby przetwarzanie danych odbywało się zgodnie z przepisami. Do głównych zadań Inspektora należą:
- Informowanie administratora o tym, jakie są jego obowiązki wynikające z przepisów.
- Czuwanie nad procesem przetwarzania danych w firmie.
- Podejmowanie działań mających na celu zwiększenie świadomości pracowników w związku z ochroną danych osobowych, np. poprzez przeprowadzanie szkoleń.
- Przeprowadzanie audytu sprawdzającego procesy przetwarzania danych osobowych w firmie.
- Współpraca z PUODO (Prezesem Urzędu Ochrony Danych Osobowych).
RODO wskazuje trzy przypadki, kiedy wyznaczenie Inspektora ochrony danych jest obowiązkowe:
- Dane są przetwarzane przez podmiot lub organ publiczny (poza sądami – w zakresie rozpatrywania przez nie spraw).
- Dane przetwarzane są przez podmiot, którego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
- Dane przetwarzane są przez podmiot, którego główna działalność polega na przetwarzaniu na dużą skalę danych wrażliwych (np. danych dotyczących zdrowia) oraz danych dot. wyroków skazujących i naruszeń prawa.
W powyższych sytuacjach Inspektor ochrony danych musi zostać wyznaczony, w innych przypadkach wyznaczenie Inspektora jest fakultatywne. Wiele podmiotów, które nie mają obowiązku ustalenia Inspektora, mimo wszystko decydują się na ten krok, bowiem Inspektor jako osoba która posiada odpowiednią wiedzę i doświadczenie w obszarze przetwarzania danych osobowych, jest w stanie aktywnie doradzać administratorowi oraz czuwać nad procesem przetwarzania danych w firmie.
7. Dlaczego wdrożenie odpowiednich procedur jest takie ważne?
Wprowadzone procedury bezpieczeństwa przetwarzanych danych osobowych, mają przede wszystkim na celu zapobiec wystąpieniu niepożądanych sytuacji, np. w postaci wycieku danych poza firmę. Z kolei sporządzona dokumentacja nie tylko na zapewnia przejrzystość procesu przetwarzania danych osobowych, ale także pozwala zachować kontrolę nad tymi procesami. Ponadto dokumentacja pomoże przedsiębiorcy jako administratorowi danych osobowych, wykazać odpowiednie procesy przetwarzania w razie ewentualnej kontroli ze strony PUODO.