Lip 20

Jak wdrożyć RODO w firmie?

Tags:

RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE to rozporządzenie unijne, które zaczęło obowiązywać od 25 maja 2018 roku. Nowe przepisy zastąpiły dotychczasowe regulacje dotyczące ochrony danych osobowych, tym samym przedsiębiorcy zostali zobligowani do wprowadzenia odpowiednich procedur oraz systemów ochrony bezpieczeństwa danych osobowych, które są przetwarzane w ramach firmy. W poniższym artykule wskazuję jakie kroki powinien podjąć przedsiębiorca jako administrator danych osobowych, aby wdrożyć odpowiednie procedury bezpieczeństwa, spełniające prawne wymagania.

Ochrona danych w przedsiębiorstwie to ciągły i złożony proces

Przede wszystkim należy podkreślić, że wdrożenie RODO nie polega jedynie na sporządzeniu odpowiedniej dokumentacji, ochrona danych osobowych w firmie powinna być postrzegana jako ciągły proces – odpowiednie dokumenty to jedno, ważne aby w przedsiębiorstwie zostały wdrożone odpowiednie procedury bezpieczeństwa, które będą funkcjonować na stałe. Od czego zacząć? Poniżej przedstawiono krótki poradnik, wskazujący jakie kroki należy podjąć przed wdrożeniem RODO w organizacji.

  1. Przeanalizuj
    jakie dane osobowe i w jaki sposób są przetwarzane

W pierwszej kolejności należy
określić:

  • Jakie dane są przetwarzane w firmie i czy wśród
    nich są dane wrażliwe?

Zgodnie z art. 9 RODO dane
wrażliwe to dane dotyczące pochodzenia rasowego lub etnicznego, przekonań
religijnych, poglądów politycznych lub światopoglądowych, dane dotyczące
przynależności do związków zawodowych, dane genetyczne, dane biometryczne, dane
dotyczące seksualności lub orientacji seksualnej oraz dane dotyczące zdrowia.
Powyższe dane mogą być przetwarzane tylko w szczególnych przypadkach,
wskazanych w rozporządzeniu.

  • Jaka jest podstawa prawna przetwarzania
    danych?

Dane osobowe są przetwarzane
zgodnie z prawem, kiedy jesteś w stanie wskazać podstawę prawną ich
przetwarzania. W RODO wymieniono sześć sytuacji, w których dane mogą być
przetwarzane legalnie:

  • Osoba
    której dane są przetwarzane wyraziła zgodę na przetwarzanie
  • Przetwarzanie
    danych jest niezbędne, aby wykonać umowę lub podjąć działania na żądanie osoby,
    której dane dotyczą
  • Przetwarzanie
    jest niezbędne do wypełnienia obowiązku prawnego, który ciąży na
    administratorze
  • Przetwarzanie
    jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub
    innej osoby fizycznej
  • Przetwarzanie
    jest niezbędne do wykonania zadania realizowane przez administratora w interesie
    publicznym lub w ramach sprawowania władzy publicznej
  • Przetwarzanie
    jest niezbędne do celów wynikających z prawnie uzasadnionego celu
    administratora.

Wiele osób błędnie zakłada, że
aby przetwarzać dane osobowe zawsze, bezwzględnie potrzebna jest zgoda osoby,
której dane są przetwarzane, jak jednak wynika z powyższego, takie rozumowanie
jest niesłuszne. Znając podstawy przetwarzania danych, zweryfikuj jakie jest
źródło przetwarzanych danych, tj. ustal skąd dane pochodzą i czy zostały
uzyskane zgodnie z przepisami.

  • Jakie czynności są dokonywane na danych
    osobowych?

Zgodnie z przepisami administrator
danych osobowych powinien prowadzić rejestr czynności przetwarzania danych, w
tym też celu należy ustalić jakie operacje przetwarzania są dokonywane na
gromadzonych danych osobowych. Pamiętaj, że przetwarzanie danych jest
równoznaczne z wszelkimi procesami, które dochodzą w związku z wykorzystaniem
tych danych, pod pojęciem przetwarzania należy więc rozumieć m.in.: zbieranie,
porządkowanie, utrwalanie, przechowywanie, udostępnianie. Rejestr czynności
przetwarzania nie tylko zapewni przejrzystość oraz kontrolę nad procesem
przetwarzania danych, ale także pozwoli w łatwy sposób wykazać jak wygląda
proces przetwarzania danych w razie kontroli.

Rejestr czynności powinien
zawierać następujące informacje:

  • Jakie dane są przetwarzane i w jakim celu
  • Kto je przetwarza – należy wskazać nie tylko administratora, ale również podmioty przetwarzające którym powierzono dane
  • Czy dane są udostępniane podmiotom trzecim
  • Czy dane są udostępniane do państw trzecich
  • Jaki jest okres przetwarzania danych
  • W jaki sposób dane są zabezpieczone

2. Ustal kategorię podmiotów, którym powierzasz dane

Podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu administratora. Administrator powierza mu konkretne dane osobowe w konkretnym celu – Podmiot przetwarzający nie może więc wykonywać na nich dowolnych działań, może je przetwarzać jedynie w celu wskazanym przez administratora. Podmiotem przetwarzającym może być np. zewnętrzna księgowość, czy hostingodawca. W związku z tym, że podmiot przetwarzający uzyskuje dostęp do danych osobowych, administrator powinien zawrzeć z nim stosowną umowę, w której zostaną określone obowiązki stron w związku z przetwarzaniem danych, a także oświadczenia stron dotyczące stosowania odpowiednich zabezpieczeń powierzonych danych.

3. Przeanalizuj ryzyko

Wiesz jakie dane są przetwarzane, w jakim celu i jakie operacje są na nich dokonywane, następnym krokiem będzie przeprowadzenie analizy ryzyka. W pierwszej kolejności zidentyfikuj jakie jest ryzyko naruszenia ochrony danych tj. określ jakie są możliwe przyczyny wystąpienia zagrożenia, jaki jest to rodzaj zagrożenia oraz jakie są potencjalne następstwa. Następnie przeprowadź analizę powyższych informacji, zweryfikuj jakie jest prawdopodobieństwo wystąpienia zagrożenia oraz jaka jest waga ryzyka (jak wielkie są konsekwencje wystąpienia danego zagrożenia). Dokonana analiza ryzyka pozwoli na wprowadzenie odpowiednich procedur oraz zabezpieczeń.

4. Zabezpiecz dane przed dostępem osób nieupoważnionych

Przepisy nie narzucają konkretnych sposobów zabezpieczenia danych. Administrator powinien dopasować zabezpieczenia pod kątem przeprowadzonej wcześniej analizy ryzyka. Ważne jest, aby do danych nie miały dostępu osoby nieupoważnione, czyli np. osoby spoza organizacji. W tym celu należy wprowadzić zabezpieczenia techniczne (np. zabezpieczenia w postaci ograniczenia dostępu do pomieszczenia, w którym przechowywane są dane) oraz odpowiednie procedury postępowania w firmie (np. zasada czystego biurka). W fazie ustalania zabezpieczeń, należy przeanalizować również którzy pracownicy potrzebują dostępu do konkretnych danych w celu wypełnienia swoich obowiązków służbowych i w tym kontekście nadać im stosowne uprawnienia dostępu. Nie powinno być tak, że każdy pracownik ma dostęp do wszystkich danych przetwarzanych przez firmę, dostęp powinien być uzasadniony, zatem powinny go mieć te osoby, które faktycznie potrzebują go w swojej codziennej pracy. Ponadto pracodawca powinien podpisać ze swoimi pracownikami odpowiednie upoważnienia, w których wskazane będzie jakie dane może przetwarzać dany pracownik i jakie są jego obowiązki w związku z przetwarzaniem danych.

5. Zadbaj o świadomość pracowników

Administrator danych osobowych odpowiada za to, aby dane były przetwarzane zgodnie z przepisami, dlatego też powinien przeszkolić swoich pracowników w zakresie bezpieczeństwa przetwarzania danych. W firmie wiele osób ma dostęp do konkretnych danych osobowych, w ramach zajmowanego stanowiska, ważne jest aby każda z tych osób wiedziała w jaki sposób postępować, aby dane były przetwarzane w sposób bezpieczny i zgodny z założonymi celami.

RODO nakłada na pracowników obowiązki także w zakresie monitoringu

6.Sprawdź czy potrzebny jest Inspektor.

Inspektor ochrony danych
osobowych to osoba wspierająca administratora danych osobowych w realizacji
obowiązków, wynikających z przepisów dot. ochrony danych osobowych. Inspektor
monitoruje proces przetwarzania danych w firmie, przede wszystkim czuwa nad tym
aby przetwarzanie danych odbywało się zgodnie z przepisami. Do głównych zadań
Inspektora należą:

  • Informowanie administratora o tym, jakie są jego
    obowiązki wynikające z przepisów.
  • Czuwanie nad procesem przetwarzania danych w firmie.
  • Podejmowanie działań mających na celu
    zwiększenie świadomości pracowników w związku z ochroną danych osobowych, np.
    poprzez przeprowadzanie szkoleń.
  • Przeprowadzanie audytu sprawdzającego procesy
    przetwarzania danych osobowych w firmie.
  • Współpraca z PUODO (Prezesem Urzędu Ochrony
    Danych Osobowych).

RODO wskazuje trzy przypadki,
kiedy wyznaczenie Inspektora ochrony danych jest obowiązkowe:

  1. Dane
    są przetwarzane przez podmiot lub organ publiczny (poza sądami – w zakresie
    rozpatrywania przez nie spraw).
  2. Dane
    przetwarzane są przez podmiot, którego główna działalność polega na operacjach
    przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają
    regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą
    skalę.
  3. Dane
    przetwarzane są przez podmiot, którego główna działalność polega na
    przetwarzaniu na dużą skalę danych wrażliwych (np. danych dotyczących zdrowia) oraz
    danych dot. wyroków skazujących i naruszeń prawa.

W powyższych sytuacjach Inspektor ochrony danych musi zostać wyznaczony, w innych przypadkach wyznaczenie Inspektora jest fakultatywne. Wiele podmiotów, które nie mają obowiązku ustalenia Inspektora, mimo wszystko decydują się na ten krok, bowiem Inspektor jako osoba która posiada odpowiednią wiedzę i doświadczenie w obszarze przetwarzania danych osobowych, jest w stanie aktywnie doradzać administratorowi oraz czuwać nad procesem przetwarzania danych w firmie.

7. Dlaczego wdrożenie odpowiednich procedur jest takie ważne?

Wprowadzone procedury
bezpieczeństwa przetwarzanych danych osobowych, mają przede wszystkim na celu
zapobiec wystąpieniu niepożądanych sytuacji, np. w postaci wycieku danych poza
firmę. Z kolei sporządzona dokumentacja nie tylko na zapewnia przejrzystość
procesu przetwarzania danych osobowych, ale także pozwala zachować kontrolę nad
tymi procesami. Ponadto dokumentacja pomoże przedsiębiorcy jako
administratorowi danych osobowych, wykazać odpowiednie procesy przetwarzania w
razie ewentualnej kontroli ze strony PUODO.

No comments yet.

Leave a Comment

reset all fields