Jak wdrożyć RODO? To pytanie bardzo często pojawia się w momencie, gdy organizacja chce „zrobić RODO”, ale jeszcze nie do końca wie, co to w praktyce oznacza. Z mojego doświadczenia wynika, że skuteczne wdrożenie RODO nie zaczyna się od dokumentów ani procedur, tylko od zrozumienia tego, jak działa biznes, jakie są procesy i jakie technologie faktycznie są wykorzystywane.
Pierwszym krokiem jest zawsze mapowanie procesów przetwarzania danych. Trzeba ustalić, jakie dane są zbierane, w jakim celu, na jakiej podstawie prawnej, kto ma do nich dostęp i jak długo są przechowywane. Bez tego dalsze działania są pozorne, bo dokumentacja nie będzie odzwierciedlała rzeczywistości. RODO nie wymaga idealnego modelu, lecz uczciwego opisu stanu faktycznego. Dopiero na tej podstawie możliwe jest przygotowanie dokumentacji RODO, która idzie w parze z biznesem, a nie przeciwko niemu. Rejestr czynności przetwarzania, analiza ryzyka, procedury naruszeń czy realizacji praw osób fizycznych powinny wynikać z realnych procesów, a nie z gotowych wzorów. Dobrze wdrożone RODO nie komplikuje pracy, tylko ją porządkuje.
Kolejnym elementem jest ocena ryzyka i zabezpieczeń. RODO jest neutralne technologicznie, co oznacza, że nie narzuca konkretnych rozwiązań, ale oczekuje, że środki techniczne i organizacyjne będą adekwatne do ryzyka. W praktyce chodzi o rozsądne podejście, które uwzględnia skalę działalności, charakter danych i realne zagrożenia, a nie o wdrażanie rozwiązań „na pokaz”.
Nie można pominąć ludzi. Nawet najlepsza dokumentacja i zabezpieczenia nie zadziałają, jeżeli pracownicy nie rozumieją, jak postępować z danymi osobowymi. Szkolenia powinny być dopasowane do ról i procesów, a nie mieć charakteru ogólnej prezentacji. To właśnie na styku człowieka i procedury najczęściej dochodzi do naruszeń.
Na końcu, choć w praktyce jest to proces ciągły, pojawia się rozliczalność. Wdrożenie RODO nie kończy się w momencie podpisania dokumentów. Administrator musi być w stanie wykazać, że podejmuje świadome decyzje, aktualizuje analizę ryzyka i reaguje na zmiany w biznesie oraz technologii. RODO działa wtedy, gdy jest żywym systemem, a nie jednorazowym projektem. Wdrożenie RODO polega więc na połączeniu prawa, biznesu i technologii w spójną całość. Jeżeli któryś z tych elementów zostanie pominięty, zgodność pozostanie tylko na papierze.
Spis treści
Wdrożenie RODO
W swojej pracy często słyszymy frazę – „jak wprowadzić RODO?”, co prawda jest to zagadnienie rozległe wymagające odpowiedniej wiedzy techniczno – prawnej, umiejętności oraz doświadczenia, ale postaramy się je przybliżyć – mianowicie co kryje się pod słowami – wprowadzić RODO. W naszym krótkim poradniku rozpoczniemy od analizy i wyjaśnienia czym jest RODO, a następnie umówimy pokrótce specyfikę jego wdrożenia.
- Audyt RODO: pomoże nam dobrać środki ochrony danych oraz wykaże czy przetwarzamy dane zgodnie z przepisami ochrony danych.
- Szkolenie pracowników: dobrze przeszkoleni pracownicy to połowa sukcesu. Znajomość przepisów oraz zasad przetwarzania danych stanowi ważną podstawę przetwarzania danych osobowych.
- Ochrona danych: zgodnie z RODO każdy administrator powinien wdrożyć odpowiednie środki organizacyjne lub techniczne.
- Rejestry: odpowiednio zaprojektowane rejestry ułatwiają spełnienie obowiązku rozliczalności podczas kontroli ze strony UODO.
- Analiza ryzyka: przeprowadzona analiza ryzyka pokaże nam czy obecnie środki bezpieczeństwa mają szansę obniżyć lub ograniczyć ryzyko wystąpienia konkretnego zdarzenia, zagrażającego bezpieczeństwu przetwarzania danych osobowych w Twojej organizacji.
- Dokumentacja: dokumentacja pozwala znacznie uprościć wykazanie przestrzegania przepisów ochrony danych osobowych - art. 5 ust. 2 RODO.
Jak wdrożyć RODO? Historia RODO
W styczniu 2012 roku Komisja Europejska wydawała projekt ogólnego rozporządzenia o ochronie danych („RODO”), rozpoczynając czteroletni cykl debat, lobbingu i rokowań w skali nieznanej dotychczas w całej historii Unii Europejskiej. Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) zostało wydane 27 kwietnia 2016 roku, otrzymując niespełna dwuletnie Vacatio Legis, ostatecznie wchodząc w życie 25 maja 2018 roku.
Liczące ponad 200 stron rozporządzenie jest obecnie jednym z najbardziej rozbudowanych źródeł prawa uchwalonych przez Unię Europejską w ostatnich latach, mimo faktu, iż utrzymało w mocy prawnej ok. 80% dotychczasowych rozwiązań, postanowiono wprowadzić pewne zmiany i to te zmiany są dla nas znaczące. Mowa tu o prawach podmiotów danych (m.in. prawie do bycia zapomnianym, przenoszalności danych, zgłoszeniu naruszeń ochrony danych osobowych do organu nadzorczego), nowym obowiązku powołania Inspektora Ochrony Danych (IOD) oraz o zasadach dotyczących przetwarzania danych i najbardziej kłopotliwej z nich rozliczalności – umieszczonej w art. 5 ust. 2 RODO. Na mocy zasady rozliczalności na Administratorze danych osobowych, oprócz odpowiedzialności za przestrzeganie przepisów przetwarzania danych osobowych spada odpowiedzialność wykazania takiego przestrzegania i tym zajmujemy się po części w Ratio-Go.
Wykazać przestrzeganie przepisów przetwarzania danych osobowych musimy rozpocząć od wprowadzenia RODO w strukturę naszej działalności. Należy jednak pamiętać, że każda działalność ma własny specyficzny obszar oraz zakres przetwarzania danych osobowych. Inaczej będzie wyglądać wprowadzenie RODO w podmiocie publicznym, a prywatnym. Nawet po rozdzieleniu podmiotów na publiczne i prywatne – nie pomoże w znalezieniu jednej receptury. Innych działań będzie wymagać wprowadzenie RODO w jednostce oświatową wychowawczej, a jednostkach organizacyjnych systemu opieki zdrowia. Porównując podmioty prywatne również różnić się będzie specyfika wprowadzania RODO w korporacji, w studiu fotograficznym a w prywatnym gabinecie kosmetologicznym, podane podmioty różnią się przede wszystkim rodzajem, zakresem oraz ilością przetwarzanych danych.
Podajemy więc przykładowe działania, które można/należy podjąć by w momencie kontroli ze strony Urzędu Ochrony Danych Osobowych móc przestrzeganie RODO wykazać:
- Wykonanie analizy ryzyka
- Przeprowadzanie szkoleń dla pracowników
- Stworzenie rejestru czynności przetwarzania i rejestru kategorii przetwarzania
- Zamieszczenie Obowiązku Informacyjnego na witrynie internetowej
- Posiadanie umów powierzenia przetwarzania danych osobowych – ważne jest by każdy podwykonawca przetwarzający dane osobowe miał zawartą umowę powierzenia wraz z jasno określonym zakresem czynności
- Wykonanie/aktualizowanie rejestru upoważnień do przetwarzania danych osobowych
- Wykonanie/aktualizowanie rejestru naruszeń ochrony danych osobowych – jest to wymóg Urzędu Ochrony Danych Osobowych
- Zaprojektowanie procedur oceny i notyfikacji naruszeń ochrony danych osobowych
- Zaktualizowanie Polityki Ochrony Danych oraz Polityki Prywatności
- Zaplanowanie corocznych Audytów i przeglądów sposobów ochrony i przetwarzania danych osobowych, w poszczególnych jednostkach organizacyjnych
- Zaprojektowanie procedury ocen ryzyka, oceny skutków i wyskalowania poziomu ryzyka przetwarzania danych osobowych
- Zaprojektowanie klauzuli informacyjnej dla właścicieli danych osobowych
- Udokumentowanie raportów z oceny skutków, rejestru naruszeń, analiz ryzyka, audytów – dokumentacja, tudzież elektroniczna, bądź w formie papierowym jest z najlepszych i najwygodniejszych sposobów wywiązania się z zasady rozliczalności
