Jak wdrożyć RODO? To jedno z tych pytań, które bardzo szybko obnaża błędne podejście do ochrony danych. W praktyce najczęściej spotykam się z myśleniem, że wdrożenie RODO to zestaw dokumentów, które trzeba „mieć”, najlepiej szybko i możliwie tanio. Tymczasem skuteczne wdrożenie RODO zaczyna się nie od dokumentacji, lecz od zrozumienia biznesu, procesów i technologii, na których ten biznes realnie działa.
Dokumentacja RODO nie powinna funkcjonować obok organizacji ani tym bardziej przeciwko niej. Dobrze przygotowana dokumentacja idzie w parze z biznesem, wspiera go i porządkuje, zamiast go blokować. Jej celem nie jest stworzenie idealnego obrazu zgodności na papierze, ale opisanie tego, co faktycznie dzieje się w organizacji, w sposób zgodny z prawem i możliwy do obrony przed organem nadzorczym.
Z mojego doświadczenia wynika, że fundamentem wdrożenia jest neutralność technologiczna RODO. Przepisy nie narzucają konkretnych systemów, narzędzi ani rozwiązań IT. To oznacza, że RODO można i trzeba dostosować do realiów organizacji, a nie odwrotnie. Jeżeli firma pracuje na określonym systemie, modelu sprzedaży czy obiegu dokumentów, dokumentacja powinna to odzwierciedlać, a nie próbować „naprawiać” biznes pod teoretyczny wzorzec.
Opis dokumentacji RODO powinien więc wynikać bezpośrednio z procesów. Rejestr czynności przetwarzania opisuje to, co faktycznie jest przetwarzane. Analiza ryzyka odnosi się do realnych zagrożeń, a nie abstrakcyjnych scenariuszy. Procedury nie tworzą nowych obowiązków, tylko porządkują to, co i tak już się dzieje, wskazując odpowiedzialności, reakcje i granice decyzyjne. Dzięki temu dokumentacja nie staje się martwa, lecz użyteczna.
RODO wdrożone w ten sposób przestaje być hamulcem rozwoju. Staje się narzędziem, które pozwala prowadzić biznes w zgodzie z prawem, bez niepotrzebnego paraliżu decyzyjnego. Dobrze zaprojektowana dokumentacja daje przestrzeń do skalowania, automatyzacji i rozwoju technologicznego, bo jasno określa, gdzie są granice, a gdzie pełna swoboda działania.
Właśnie na tym polega dojrzałe wdrożenie RODO. Nie na kopiowaniu wzorów ani „odhaczaniu” obowiązków, lecz na połączeniu prawa, technologii i biznesu w spójny system. Taki, który jest naturalny dla organizacji i jednocześnie spełnia wymogi regulacyjne.
Spis treści
Czym jest RODO?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych (ang. General Data Protection Regulation – GDPR), obowiązuje w całej Unii Europejskiej, reguluje zasady przetwarzania danych osobowych. Wprowadzono je w 2018 roku, aby wzmocnić ochronę prywatności obywateli.
RODO określa, jakie prawa przysługują osobom, których dane dotyczą, a także jakie obowiązki mają podmioty przetwarzające te dane. Dotyczy to zarówno firm, instytucji publicznych, jak i osób prywatnych, jeżeli przetwarzają dane osobowe w ramach prowadzonej działalności.
Jak wdrożyć RODO?
Jednym z najczęściej zadawanych pytań odnośnie wdrożenia RODO jest: czy i jakiej dokumentacji potrzebuję, by moja organizacja przetwarzała dane zgodnie z RODO. Zarówno w RODO jak i w ustawie o ochronie danych osobowych nie spotkamy konkretnych wytycznych mówiących jaki wymagany spis dokumentów powinniśmy posiadać.
Dokumentacja RODO
Dokumentacja RODO jest kluczowym elementem, który umożliwia organizacjom udowodnienie zgodności z przepisami o ochronie danych. Zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych, każdy podmiot przetwarzający dane osobowe ma obowiązek nie tylko przetwarzania danych zgodnie z RODO oraz musi być w stanie to wykazać. Zasada ta została opisana w art. 5 ust. 2 RODO i nazywamy ją zasadą rozliczalności. Prowadzenie dokumentacji RODO pomoże Ci wykazać, że przetwarzasz dane zgodnie z RODO.
Czy dokumentacja RODO jest potrzebna?
Jak już wspomnieliśmy wyżej, w treści unijnego rozporządzenia oraz ustawie o ochronie
danych nie znajdziemy całego spisu wymaganych dokumentów od A do Z. W RODO
jednak znajdziemy opis wymogów, które należy spełnić, a dużą część z nich możemy
wykazać w dokumentacji. Będą to m.in:
- Polityka ochrony danych osobowych, opisana w art. 24 ust. 2 RODO,
- Zasady retencji danych – art. 5 ust. 1 lit. e RODO,
- Rejestr czynności przetwarzania i rejestr kategorii przetwarzania, które zostały opisane
w art. 30 RODO, - Procedura i ewidencja upoważnień, opisana w art. 29 RODO,
- Procedura zgłoszenia naruszeń ochrony danych, opisana w art. 33 ust. 5 RODO,
- Rejestr naruszeń ochrony danych, opisany w art. 33 ust. 5 RODO,
- Ocena skutków dla ochrony danych (jeśli jest konieczna), opisana w art. 35 RODO,
- Analiza ryzyka, opisana w motywie 76 RODO,
- Umowa powierzenia przetwarzania danych, opisana w art. 28 RODO,
- Spis środków organizacyjnych i technicznych ochrony danych osobowych, opisany w
art. 24 RODO.
Projektując dokumentację należy pamiętać, że przepisy RODO nie wymagają, aby
dokument zawierający wymienione elementy miał określoną nazwę czy strukturę. Ważne
jest, aby wykazać, że posiada się wspomniane rejestry i raporty oraz, że ich zawartość jest
zgodna z wskazanymi wymaganiami.
Ilość opcjonalnej dokumentacji, która może pomóc w wykazaniu rozliczalności jest spora,
należy pamiętać jednak, że nie wszystkie dokumenty są obligatoryjne. Decyzja o
potrzebnej dokumentacji powinna przebiegać indywidualnie dla każdej organizacji,
wszystko zależy od rodzaju przetwarzanych danych oraz od skali, procesów i podstaw ich
przetwarzania. Należy pamiętać, że nie istnieje jedna „złota lista” dokumentów, która
byłaby konieczna dla wszystkich firm.
Dzięki zasadzie neutralności technologicznej przedstawionej w RODO, jako
administratorzy mamy sporą swobodę w zakresie projektowania dokumentacji oraz
procedur ochrony danych. Nie należy jednak zapominać, że prowadzenie dokumentacji
jest obowiązkiem każdej organizacji oraz najlepszym i najprostszym sposobem wywiązania
się z zasady rozliczalności. Kluczowym jest pamiętanie, że brak wymaganej dokumentacji
może skutkować odpowiedzialnością karno-administracyjną, a co za tym idzie, karą
pieniężną, której górna wysokość to 20 000 000 euro.
Ważnym aspektem wdrożenia RODO, jest zadbanie by dokumentacja wprowadzona do
organizacji nie była tylko stertą wydrukowanych dokumentów. Dokumentacja powinna
być stale aktualizowana i stosowana w praktyce, jednak nie tylko ona jest kluczowa aby
cały proces przebiegł sprawnie. Dokumentacja powinna iść w parze ze stosowaniem
przepisów ochrony danych omówionych w tym poradniku, przede wszystkim z
realizowaniem praw podmiotów danych osobowych, spełnianiem obowiązku
informacyjnego oraz wprowadzenia takich środków organizacyjnych i technicznych, by
przetwarzanie danych osobowych w organizacji obarczone było jak najmniejszym
ryzykiem naruszenia danych osobowych.
Jak wdrożyć RODO? Opis przykładowej dokumentacji RODO
Analiza ryzyka
Dokument, do wglądu PUODO w razie kontroli. Opisuje czynności przetwarzania, ich
podatności, ryzyka, wpływ na prawa i wolności osób fizycznych, wdrożone środki
organizacyjno-techniczne oraz określone zostało prawdopodobieństwo naruszenia, które
jest niskie. Świadczy, też że ADO stosuje podeście oparte na ryzyku w stosunku do
przetwarzania danych.
Analiza ryzyka powinna być wykonana dla każdej czynności przetwarzania w organizacji administratora.
Polityka prywatności
Dokument powinien znaleźć się na stronie internetowej – jest to spełnienie obowiązku informacyjnego (art.13 RODO) względem klientów. Dokument określa: kto jest administratorem, jakie dane ADO przetwarza, jak i w jakim celu, na jakiej podstawie, kto jest odbiorcom, jakie prawa
przysługują podmiotom, których dane dotyczą oraz w jaki sposób mogą je realizować. Polityka prywatności zawiera również przykładową politykę plików cookies.
Klauzula informacyjna (dla klientów)
Dokument do wglądu dla klientów w siedzibie administratora – analogicznie do
polityki prywatności jest to spełnienie obowiązku informacyjnego (art.13 RODO)
względem klientów. Dokument określa: kto jest administratorem, jakie dane ADO
przetwarza, jak i w jakim celu, na jakiej podstawie, kto jest odbiorcom, jakie prawa
przysługują podmiotom, których dane dotyczą oraz w jaki sposób mogą je realizować.
Klauzula informacyjna (dla pracowników)
Dokument informujący pracowników, o przetwarzaniu ich danych – jest to konieczne by
spełnić obowiązek informacyjny, określony w art. 13 RODO. Administrator powinien przesłać pracownikom do zapoznania się z nim – zatrudnionym na umowę o pracę, zlecenie oraz b2b. Dokument powinien być przekazywany każdorazowo w przypadku podpisania umowy z nowym
pracownikiem.
Zgoda na wykorzystanie wizerunku
Zgoda na przetwarzanie wizerunku osób fizycznych – np. W celu udostępnienia zdjęć
pracowników/klientów na social media.
Upoważnienie do przetwarzania danych osobowych
Obowiązek nadawania upoważnień pracownikom wywodzi się zasady rozliczalności.
Dzięki udzielanie upoważnień do przetwarzania danych swoim pracownikom administrator
wykazuje i zachowuje kontrole nad tym jak i przez kogo przetwarzane są dane.
Dokument, który powinien być podpisany przez wszystkich pracowników, którzy
przetwarzają dane osobowe. Należy w nim określić zbiór danych do którego pracownik
został upoważniony. Dokument zawiera również oświadczenie o poufności.
Upoważnienie do wejścia w obszar przetwarzania danych osobowych
Dokument, który powinien być podpisany przez osoby nieprzetwarzające danych, ale
przebywające w miejscu ich przetwarzania np. osoba sprzątająca biuro. Dokument zawiera
również oświadczenie o poufności.
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania – najważniejszy dokument (przekazać do wglądu
pracownikowi UODO w razie kontroli) opisuje czynności przetwarzania, ich cel, zakres, charakter, podstawy prawne oraz zawiera ogólny opis wdrożonych środków organizacyjno-technicznych, które
zostały wdrożone w celu ochrony danych.
Umowa powierzenia przetwarzania danych
Umowa powierzenia przetwarzania danych osobowych powinna być podpisania przez każdego procesora (podmiotu przetwarzającego), czyli firmy zewnętrznej świadczącej usługi (przewarzającej dane w celu wyznaczonym przez ADO). W umowie należy wpisać zbiór danych powierzany przez ADO oraz określić rodzaj, cel i charakter powierzonego przetwarzania. Dokument powinien również zawierać oświadczenie o poufności.
Rejestr naruszeń ochrony danych
Rejestr naruszeń jest wymogiem PUODO. Zawiera on informacje o naruszeniach ochrony
danych w organizacji i powzięte działania. Jeśli organizacja nie stwierdziła naruszeń
danych – rejestr powinien pozostać pusty.
Pozostałe rejestry/ewidencje/wykazy
Mają one na celu wspomóc administratora w wykazaniu przestrzegania przepisów RODO zgodnie z zasadą rozliczalności. Np.: wykaz podmiotów przetwarzających dane, ewidencja osób upoważnionych do przetwarzania, wykaz udostepnień danych osobowych, rejestr udostępnień haseł do baz danych zawierających dane osobowe.
Zgody
Jeśli nie możemy oprzeć przetwarzania danych na innej podstawie, pozostaje nam zgoda.
Udokumentowana zgody pozwala nam wykazać, że osoba fizyczna zgodziła się na dany
rodzaj przetwarzania w określonym w zgodzie celu. Np. wysyłka newslettera w celach
marketingowych.
Sprawdź:
Potrzebujesz pomocy w wdrożeniu RODO? Napisz do nas, pomożemy!
