Wdrażasz RODO, przeprowadzasz audyt, przygotowujesz dokumentację, szkolisz siebie i pracowników. I po krzyku! Fakt, wydałeś/wydałaś na to trochę „grosza”, ale przynajmniej masz spokój i nic nam nie grozi.
Otóż mam dla Ciebie, drogi Administratorze, informację, która bardzo Cię zasmuci: GROZI CI I TO DUŻO! Oczywiście nie chcą straszyć kontrolami i karami, bo o tym wiedzą już wszyscy, ale chciałbym postawić śmiałą tezę, że „wdrożenie” RODO nie gwarantuje jego… wdrożenia. Nie wiem o czym piszę? Żeby uprościć mój tok rozumowania, nazwijmy oba „wdrożenia” odpowiednio: wdrożenie 1 i wdrożenie 2.
Czym jest wdrożenie 1? To Twój pierwszy kontakt z RODO i przepisami dostosowującymi prawo polskie do RODO. To zoptymalizowanie działalności Twojej instytucji pod kątem przepisów o ochronie danych osobowych, a w szczególności przeprowadzenie audytu, przygotowanie dokumentacji, zadbanie o podniesienie swojej świadomości i poziomu wiedzy z zakresu ochrony danych osobowych. Oczywiście wszystko powinno być udokumentowane, a wszelkie procedury wdrożone.
Co się jednak dzieje dalej? Któryś z Twoich pracowników w ogłoszeniu o pracę prosi kandydatów o sformułowanie w CV oświadczenia o wyrażeniu zgody na przetwarzania danych osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r.? A może Rejestr Czynności Przetwarzania Danych nagle przestał być aktualizowany? Jeden z Twoich klientów wniósł sprzeciw wobec przetwarzania jego danych osobowych, a Ty już nie pamiętasz, co trzeba zrobić? W takiej sytuacji musisz zadać sobie jedno pytanie: CZY JA W OGÓLE WDROŻYŁAM/WDROŻYŁEM RODO?
Wdrożenie można uznać za dokonane wtedy, gdy wszystko śmiga, kiedy zarówno Ty jak i Twoi pracownicy znacie przepisy RODO, umiecie jest stosować, wiecie jest spełniać obowiązek informacyjny, jak stosować się do określonych procedur i jak odpowiadać na żądania osób. Oczywiście to tylko wycinek. Jeżeli – mimo wdrożenia 1 – to wszystko kuleje, to jak można uznać, że w Twojej instytucji wdrożono RODO?
Zresztą, nawet gdybyś na wdrożenie 1 wydała/wydał niebotyczne sumy i najlepsi specjaliści z zakresu RODO przygotowali dla Ciebie dokumentację, to nie wolno Ci spocząć na laurach. W tym momencie dochodzimy do wdrożenia 2, czyli etapu, który trwa… cały czas. Wdrożenie RODO to bowiem proces ciągły, który sprowadza się nie tylko do pewnych czynności w zamkniętym okresie, ale cały czas towarzyszy administratorowi danych osobowych oraz jego personelowi. Nie zapominaj o tym, że cały czas kształtuje się praktyka stosowania RODO (sam Urząd Ochrony Danych Osobowych aktualizuje swoje poradniki), a przepisy mogą się zmieniać. Dla przykładu 4 maja 2019 r. weszła w życie ustawa, która dostosowała 162 polskie ustawy do RODO, w tym m.in. Kodeks pracy. Czy na etapie wdrożenia przed 25 maja 2018 r. Twoja wiedza odnośnie tego, jakie dane pracowników i kandydatów do pracy możesz przetwarzać, obejmowała już projekt tej nowelizacji? Jeśli od tego czasu nie zmieniłaś/nie zmieniłeś nic w swojej dokumentacji i swoich procedurach, to jak najszybciej należałoby to poprawić.
Ponadto nie ulega wątpliwości, że nie zawsze masz bezpośrednią kontrolę nad tym, co robią Twoi pracownicy (albo czego nie robią). A przecież to Ty jako administrator odpowiadasz za stosowanie RODO w swojej instytucji! Nie zastanawiaj się zatem i przeprowadź audyt sprawdzający. Postaraj się dbać o audytowanie przetwarzania i obiegu danych osobowych w swojej instytucji przynajmniej raz w roku. Dobrze przeprowadzony i udokumentowany audyt nie tylko pozwoli Ci na ciągłe poprawianie wdrożenia 2, ale odpowiada też realizacji zasady rozliczalności według RODO.
