Prawo gospodarcze, RODO

RODO w praktyce: Jak wdrożyć RODO w firmie? 10 kroków

Wdrożenie RODO to dla wielu przedsiębiorców swoista „droga przez mękę”. Nowe przepisy dotyczące danych osobowych zmieniają podejście odnośnie przetwarzania oraz ochrony tych danych i nakładają na administratorów szereg niejednokrotnie uciążliwych obowiązków. Kary za nieprzestrzeganie przepisów RODO są niebotyczne, a więc przed 25 maja 2018 r. każdy przedsiębiorca dwoił się i troił, aby sprostać wymaganiom unijnego rozporządzenia. Jeśli jednak jeszcze nie do końca zainteresowało Cię RODO albo chcesz ulepszyć i kontynuować dotychczasowy proces wdrożeniowy, ten artykuł jest właśnie dla Ciebie! Oto 10 kroków wdrożenia RODO przygotowanych przez naszą kancelarię.

  1. Zlokalizuj przetwarzane dane osobowe

logoW celu podjęcia jakichkolwiek kroków odnośnie wdrożenia RODO lub poprawy procedury wdrożeniowej, należy dokładnie zbadać, gdzie są zlokalizowane dane osobowe w naszym przedsiębiorstwie. Czasami nawet nie zastanawiamy się nad tym, że dane osobowe mogą być dosłownie wszędzie. Przecież dziennie wysyłamy od kilku do kilkunastu maili do różnych osób, a wiele z adresów mailowych odbiorców naszych wiadomości składa się z imion i nazwisk. Podpisujemy umowy, zatrudniamy pracowników, prowadzimy bazy klientów i kontrahentów, rozmawiamy z potencjalnymi partnerami biznesowymi, wysyłamy oferty. Te wszystkie czynności praktycznie zawsze są ściśle związane z danymi osobowymi. Zastanówmy się zatem, jakie dane osobowe są przetwarzane w naszej firmie, gdzie się one znajdują, a także czy przetwarzamy je legalnie oraz czy nie przetwarzamy ich „ponad miarę” – jednym słowem – zanim wdrożymy RODO, musimy choć trochę poznać podstawy nowych zasad przetwarzania danych osobowych, a zatem jednocześnie realizując punkt 1, choć wstępnie popracować nad punktem 2.

Jeżeli wdrożyliśmy już w sposób podstawowy reguły prawne stosowania RODO, nie zapominajmy, aby nadal kontrolować przepływ danych w naszej firmie. Oczywiście nie chodzi o ciągły nadzór, który sparaliżuje funkcjonowanie naszego biznesu i pochłonie nas bez reszty. Należy stale przyglądać się, w jaki sposób obchodzimy się z danymi, a także pilnować, aby nasz personel również był świadomy, że dane osobowe są przedmiotem ochrony.

  1. Zdobądź wiedzę i podnieś świadomość

Nie da się stosować RODO bez wiedzy i świadomości. W poprzednim stanie prawnym, ochrona danych osobowych była traktowana nieco po macoszemu. Obecnie, w szczególności z uwagi na wysokie kary za przetwarzanie danych osobowych niezgodnie z RODO, każdy administrator niejako został zmuszony do podniesienia swojej  świadomości odnośnie przepisów regulujących prawo danych osobowych.

Wiedza i świadomość to podstawa wdrożenia i stosowania RODO. Nawet najdokładniej sporządzona dokumentacja i najlepsza polityka ochrony danych osobowych nic nie da, jeżeli administrator nie posiada odpowiedniej wiedzy odnośnie danych osobowych. Nowe przepisy dotyczące danych osobowych wymuszają podniesienie swojej świadomości. Trzeba wiedzieć, w jaki sposób trzeba zachować się w danej sytuacji, jak odpowiadać na żądania osób, których dane są przetwarzane, jak działać w przypadku wystąpienia incydentów związanych z danymi osobowymi. Bez tej wiedzy, nie ma sensu zabierać się za wdrażanie RODO czy też ulepszanie naszej dotychczasowej dokumentacji.

  1. Zleć przeprowadzenie audytu

Audyt jest niezbędny w celu ustalenia, jakie rozwiązania z dotychczas przez nas stosowanych są prawidłowe, a jakie wymagają poprawy lub ulepszeń. Co do zasady audyt składa się z dwóch części: audytu właściwego i wniosków (zaleceń) po audycie właściwym. Najpierw audytor powinien przeprowadzić dokładny wywiad z administratorem danych osobowych lub jego przedstawicielami. Niejednokrotnie rozmowa powinna odbyć się również z personelem administratora. Audyt powinien obejmować między innymi kontrolę przepływu danych osobowych w przedsiębiorstwie, stosowanej dokumentacji i rozwiązań, ocenę ryzyka w przetwarzaniu danych osobowych oraz dopasowanie treści dokumentacji.

Audyt jest podstawą do wdrożenia dokumentacji i procedur działania. Wyniki audytu powinny być podstawą do zmiany podejścia odnośnie przetwarzania danych osobowych, udoskonalania dotychczas wprowadzonych rozwiązań oraz podniesienia świadomości. Jeżeli audytor zajmuje się jednocześnie wdrożeniem reguł stosowania RODO w naszej firmie, wyniki audytu będą dla niego podstawą do stworzenia dokumentacji, opracowania wzorów odpowiednich rejestrów, a finalnie – przeprowadzenia szkolenia dotyczącego ochrony danych osobowych.

Audytu nigdy nie należy traktować jako „zło konieczne” – nie ma on na celu jedynie proste wytknięcie naszych błędów, ale stanowi podstawę do zastosowania lepszych i skuteczniejszych rozwiązań.

  1. Oceń ryzyko

Ochrona danych osobowych opiera się na ciągłej ocenie ryzyka. Zadaniem administratora w toku przetwarzania danych osobowych jest ocena czy operacje, jakie są wykonywane na danych osobowych nie stwarzają zbyt dużego ryzyka naruszenia praw osób. RODO wprowadza bezwzględny obowiązek oceny ryzyka dla pewnej grupy podmiotów, jednak najlepiej, aby każdy administrator dokonywał regularnej oceny ryzyka. Jeżeli ryzyko jest zbyt duże, należy podjąć szybkie lub wręcz natychmiastowe działania zmierzające do obniżenia poziomu ryzyka.

Ocena ryzyka i jego obniżanie to niejednokrotnie bardzo skomplikowana i trudna do uchwycenia procedura, w którą zaangażowany powinien być cały zespół firmy oraz podmioty zewnętrzne, które pomagają administratorowi w stosowaniu RODO. Przepisy nie przewidują żadnych gotowych rozwiązań pozwalających na ocenę ryzyka, a jedynie nakładają na administratorów danych osobowych ogólne obowiązki, które muszą zostać skonkretyzowane w każdym indywidualnym przypadku. Taka konstrukcja RODO niejednokrotnie wprowadza kłopoty zarówno w stosowaniu przepisów, jak też i przygotowaniu konkretnych rozwiązań. Nie należy również zapominać, że ocena ryzyka jest procesem ciągłym, który powinien towarzyszyć funkcjonowaniu naszego przedsiębiorstwa praktycznie każdego dnia.

  1. Zdecyduj czy musisz prowadzić stosowny rejestr oraz czy musisz powołać Inspektora Ochrony Danych

Główna 1Prowadzenie rejestru czynności przetwarzania danych osobowych oraz powołanie Inspektora Ochrony Danych Osobowych (IODa) to kolejny obowiązek, który RODO nakłada na wielu administratorów danych. Jednak nie każdy administrator musi bezwzględnie sprostać tym obowiązkom. RODO określa, kiedy zawsze należy prowadzić stosowny rejestr oraz kiedy powołanie IODa jest obligatoryjne. Jednocześnie prowadzenie rejestru czynności przetwarzania danych osobowych zaleca się dla każdego administratora, ponieważ pozwala on na kontrolę przepływu danych osobowych w naszym przedsiębiorstwie. Wdrożenie RODO musi wiązać się z oceną czy dany administrator musi prowadzić rejestr oraz czy musi powołać IODa – taka ocena jest niezbędna, gdyż obowiązek jej przeprowadzenia wprost nakłada samo RODO.

  1. Wprowadź lub zaktualizuj dokumentację

Przygotowanie lub zaktualizowanie dokumentacji odnośnie przetwarzania danych osobowych pozwala zrealizować zasadę rozliczalności według RODO. To na administratorze spoczywa obowiązek wykazania, że przetwarza dane osobowe zgodnie z regułami RODO. Jest to bardzo istotny i restrykcyjny obowiązek, dlatego (choć RODO wprost tego nie nakazuje) wszelkie czynności związane z przetwarzaniem danych, jakie mają wpływ na prawa osób, których dane dotyczą, powinny być udokumentowane. Najważniejszymi dokumentami wdrożeniowymi RODO jest polityka ochrony danych osobowych oraz klauzula informacyjna. W szczególności bardzo istotne jest przygotowanie szczegółowej i spełniającej wszystkie wymogi RODO klauzuli informacyjnej i udostępnienie jej wszystkim osobom, których dane są lub mogą być przez nas przetwarzane. Administrator musi bardzo ściśle przestrzegać obowiązku informacyjnego względem osób, których dane przetwarza. Klauzula informacyjna powinna być prosta i zrozumiała. Należy pamiętać, że w zależności od tego, jakie przedsiębiorstwo prowadzimy, czasami będziemy musieli stosować kilka klauzul informacyjnych np. jedną w stosunku do kontrahentów a inną w stosunku do pracowników i kandydatów do pracy. Dlatego bardzo ważne jest, aby nasza dokumentacja była starannie przygotowana, szczegółowa i stale aktualizowana. Z uwagi na tworzącą się praktykę stosowania RODO, nie sposób przygotować dokumentacji, która będzie stała i niezmienna. Z pewnością raz na jakiś czas trzeba będzie dokonać przeglądu dokumentacji oraz przeprowadzić audyt jej stosowania przy uwzględnieniu najnowszej praktyki stosowania przepisów oraz stanowiska przedstawicieli literatury przedmiotu.

  1. Opracuj i wprowadź reguły postępowania z danymi

Sama dokumentacja nie ochroni administratora, jeżeli ten nie będzie się do niej stosował. Polityka ochrony danych oraz wszelkie wewnętrzne regulaminy dotyczące bezpieczeństwa danych powinny zawierać stosowne procedury i wewnętrzne regulacje, które wprowadzane są po to, aby je skrupulatnie stosować. Dokumentacja pełni przede wszystkim dwie funkcje: pozwala rozliczyć się z wdrożenia RODO oraz określa sposób, w jaki RODO należy stosować.

Jeżeli ustalono w naszym przedsiębiorstwie jakąś procedurę np. odnośnie reagowania na incydenty związane z przetwarzaniem danych osobowych lub odpowiedziami na żądania osób, których dane dotyczą, to należy ściśle trzymać się tych procedur, aby nie narazić się na zarzut łamania praw osób. Stosowanie odpowiednich reguł oraz procedur wymaga zarówno przygotowania i aktualizowania dokumentacji, jak i stałego podnoszenia swojej świadomości i wiedzy odnośnie danych osobowych. Być może tak wiele obowiązków to za dużo dla przeciętnego przedsiębiorcy, który przecież przede wszystkim zajmuje się prowadzeniem i rozwijaniem swojego biznesu, jednak RODO jest pod tym względem bardzo restrykcyjne i zmusza nas do wprowadzenia i stosowania się do nowych reguł pod groźbą wysokich kar pieniężnych.

  1. Przeszkol personel

Wiedza i świadomość odnośnie ochrony danych osobowych nie powinny być tylko domeną administratora, ale również jego personelu. Pracownicy i zleceniobiorcy powinni być dokładnie przeszkoleni z nowych zasad przetwarzania oraz ochrony danych osobowych. W końcu nie jesteśmy w stanie stale nadzorować swojego personelu w zakresie ochrony danych osobowych. To pracownicy oraz zleceniobiorcy powinni mieć wiedzę i znać procedury odnośnie danych osobowych w przedsiębiorstwie, w którym pracują.

Szkolenia powinny przeprowadzać osoby, które mają wiedzę i doświadczenie w zakresie przetwarzania danych osobowych oraz RODO. Wiele firm szkoleniowych oraz kancelarii w ramach wdrożenia RODO przeprowadza szkolenia dla administratorów oraz ich personelu. Przeprowadzenie takiego szkolenia powinno być udokumentowane, a samo szkolenie powtarzane np. raz w roku.

Nie można również zapominać o stworzeniu odpowiedniej dokumentacji dla naszego personelu, w tym klauzul umownych oraz stosownych upoważnień do przetwarzania danych osobowych w imieniu oraz na polecenie administratora.

  1. Kontynuuj wdrażanie RODO i ocenę ryzyka

Wdrażanie RODO to proces ciągły. Oczywiście można przygotować jednorazowo wdrożenie reguł stosowania RODO, jednak należy cały czas kontrolować wprowadzone reguły i procedury. Jeszcze raz trzeba przypomnieć, że RODO jest aktem bardzo ogólnym, a praktyka jego stosowania dopiero się tworzy. Dlatego trzeba mieć się na baczności i aktualizować swoją dokumentację, wiedzę oraz ulepszać i uszczelniać swoje procedury.

Nawet najlepsze wdrożenie reguł stosowania RODO nie gwarantuje, że administrator zostaje zwolniony z odpowiedzialności. Właśnie ten ciężar odpowiedzialności odnośnie stosowania RODO powinien być najlepszym motywatorem odnośnie ciągłego ulepszania wprowadzonych procedur. Niezwykle istotnym elementem jest ciągła i regularna ocena ryzyka odnośnie przetwarzanych danych osobowych. Rozpoczęcie realizacji każdego nowego projektu powinno być poprzedzone oceną ryzyka. Jeżeli ryzyko naruszenia praw i wolności osób, których dane dotyczą, jest zbyt wysokie, należy podjąć niezwłoczne działania w celu obniżenia poziomu ryzyka.

  1. Śledź zmiany, interpretacje i dokonuj poprawek

Ciągłość procesu wdrażania i stosowania RODO wymusza na nas stałe zwiększanie swojej wiedzy odnośnie regulacji dotyczących przetwarzania oraz ochrony danych osobowych. Śledzenie wszelkich zmian w prawie krajowym i unijnym, szkolenia, lektura opracowań fachowych, regularne zapoznawanie się z nowymi interpretacjami przepisów prawa – powinny stanowić działania stale towarzyszące naszej działalności. Bez ciągłego pozostawania „na bieżąco” wypadniemy z obiegu w zakresie aktualnych nowinek dotyczących RODO, a tym samym zwiększymy ryzyko naruszenia przez nas przepisów prawa.

Podsumowanie

Wdrożenie i stosowanie RODO nie jest łatwe. RODO to akt prawny bardzo ogólny, a jednocześnie restrykcyjny i bezwzględny. Nowe przepisy dotyczące ochrony danych osobowych z jednej strony mają zapewnić lepsze poszanowanie ochrony praw i wolności jednostek, ale z drugiej strony nakładają na przedsiębiorców sporo obowiązków i obciążeń. Dlatego warto zgłębiać fachową wiedzę odnośnie przetwarzania danych osobowych lub skorzystać z pomocy profesjonalisty, który pozwoli uporządkować funkcjonowanie naszej firmy w zgodzie z RODO.

Kancelaria Radców Prawnych Ewa Rybarczyk Daniel Rybarczyk S.C. w Kaliszu specjalizuje się między innymi w prawie ochrony danych osobowych oraz we wdrażaniu stosowania RODO. Jeżeli RODO Cię przerasta i potrzebujesz pomocy w zakresie danych osobowych, skontaktuj się z nami (zakładka „Kontakt”).

cropped-logo_-blog.jpg

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s