Infografika 12 kroków aby przygotować się do RODO

Infografika 12 kroków, które
należy pilnie podjąć

Wiele z głównych koncepcji i zasad RODO jest w znacznym stopniu zbieżne z tymi, które występują w obecnej ustawie o ochronie danych osobowych. Stąd też, jeżeli organizacja stosuje się odpowiednio do obecnego prawa, znaczna część podejścia w zakresie zgodności z regulacjami będzie dalej obowiązywać i może stanowić punkt startowy do stworzenia nowych rozwiązań. Istnieją jednak nowe elementy i istotne rozszerzenia, dlatego pewne rzeczy będzie trzeba robić po raz pierwszy, a inne inaczej niż dotychczas.

Ważne jest, by stosować tę listę zadań i inne źródła z Biura Komisarza ds. Informacji (ICO – Information Commissioner’s Office) do ustalenia głównych różnic między obecnym prawem a RODO. W ciągu najbliższych kilku miesięcy ICO określi swe plany stworzenia nowych wytycznych i innych narzędzi wspomagających przygotowania. Grupa Robocza (art. 29) będzie też tworzyła nowe wytyczne na poziomie europejskim. ICO będzie ściśle współpracowało ze zrzeszeniami branżowymi i instytucjami reprezentującymi różne sektory – organizacje też powinny blisko współpracować z tymi instytucjami, by dzielić się wiedzą o implementacji w danym sektorze.

Istotne jest rozpoczęcie planowania podejścia w zakresie zgodności z RODO tak wcześnie jak to możliwe i pozyskanie gwarancji pozytywnego jego przyjęcia wśród kluczowych osób w organizacji. Dla przykładu, konieczne może okazać się wprowadzenie nowych procedur dla wdrożenia nowych zasad transparentności wymaganych w RODO oraz postanowień dotyczących praw osób fizycznych. W organizacjach dużych lub o skomplikowanej strukturze może to mieć istotne konsekwencje dla budżetu, IT, kadr, ładu korporacyjnego i komunikacji.

RODO kładzie większy nacisk na dokumentowanie faktu, że kontrolerzy danych muszą wciąż wykazywać swoją odpowiedzialność. Zgodność ze wszystkimi obszarami wymienionymi w dokumencie będzie wymagała od organizacji przeglądu zasad ładu korporacyjnego i sposobu zarządzania ochroną danych jako kwestią korporacyjną. Jednym z aspektów może być tu przegląd obowiązujących umów i innych ustaleń mających zastosowanie przy przekazywaniu danych do innych organizacji.

Warto zauważyć, że niektóre części RODO będą miały większy wpływ na pewne organizacje niż na inne (np. postanowienia odnoszące się profilowania lub danych dzieci), dlatego należy określić, które części RODO będą miały największy wpływ na dany model biznesowy i przypisać im odpowiednią wagę w procesie planowania.

1. Świadomość
   Należy upewnić się, że decydenci i osoby kluczowe w organizacji są świadome, że prawo zmienia się w ślad za RODO. Powinni oni mieć świadomość wagi konsekwencji, jakie RODO prawdopodobnie przyniesie i określić obszary, które mogłyby spowodować problemy ze zgodnością z RODO. Należałoby rozpocząć przegląd rejestru ryzyk organizacji, jeśli taki istnieje. Wprowadzenie RODO może mieć istotne konsekwencje dla zasobów, szczególnie w większych i bardziej złożonych organizacjach. Należy przede wszystkim wykorzystać dwuletni okres przystosowawczy z pierwszej części RODO celem zbudowania świadomości nadchodzących zmian. Dostosowanie się może być trudne, jeśli przygotowania zostawi się na ostatni moment.
   
   
2. Posiadane informacje
   Trzeba udokumentować, jakie dane osobowe się posiada, źródło ich pochodzenia oraz komu je się udostępnia. Konieczne może okazać się przeprowadzenie audytu informacji w całej organizacji albo w poszczególnych obszarach biznesu. RODO aktualizuje prawo z uwzględnieniem nowych warunków w świecie pracującym w sieci. Na przykład, jeśli posiadane dane osobowe są niepoprawne, a zostały przekazane innej organizacji, należy tę organizację powiadomić o tej niepoprawności, by mogła ona poprawić swe zapisy. Nie będzie można tego zrobić, jeśli brak będzie wiedzy, jakie dane osobowe się posiada, jakie jest ich źródło i komu zostały przekazane. Należy to udokumentować. Takie postępowanie pomoże również pozostać zgodnym z zasadą RODO dotyczącą odpowiedzialności, która wymaga od organizacji, by te były w stanie przedstawić, w jaki sposób utrzymują zgodność z zasadami ochrony danych, np. poprzez stosowanie skutecznych polityk i procedur.
   
   
3. Informowanie o polityce ochronie prywatności
   Należy przejrzeć obecne oświadczenia o polityce ochronie prywatności i wdrożyć plan przeprowadzenia koniecznych zmian zgodnie z terminem wprowadzenia RODO. Jeżeli obecnie pozyskuje się dane od osób fizycznych, trzeba przekazać tym osobom określone informacje, takie jak tożsamość organizacji pozyskującej oraz zakładany przez niego sposób wykorzystywania tych informacji. Odbywa się to zwykle za pośrednictwem informacji o polityce ochrony prywatności. Zgodnie z RODO powstają dodatkowe obowiązki związane z informowaniem. Na przykład, należało będzie wyjaśnić, jakie są podstawy prawne przetwarzania danych, okresy ich przechowywania oraz poinformować, że osoby fizyczne mają prawo złożenia skargi do ICO, jeśli uważają, że ich dane są traktowane w niewłaściwy sposób. Warto tu zauważyć, że RODO wymaga dostarczenia informacji językiem zwięzłym, jasnym i łatwym do zrozumienia. Obecnie ICO konsultuje nową wersję Kodeksu postępowania w zakresie informowania o polityce ochronie prywatności. Nowa wersja, która ma zostać opublikowana jeszcze w 2016 roku, będzie odzwierciedlała nowe wymogi RODO.
   
   
4. Prawa osób fizycznych
   Należy sprawdzić procedury celem potwierdzenia, że obejmują one wszystkie prawa, jakie mają osoby fizyczne, w tym sposoby usuwania danych osobowych, przekazywania danych drogą elektroniczną i w powszechnie używanym formacie.
   Główne prawa osób fizycznych wynikających z RODO to prawa do:
   
   • dostępu do danych,
   • korekty niepoprawnych danych,
   • usunięcia informacji,
   • niestosowania marketingu bezpośredniego,
   • niestosowania automatycznego podejmowania decyzji i profilowania,
   • przenoszenia danych.
   Ogólnie rzecz biorąc, prawa osób fizycznych wynikające z RODO są równoważne z wynikającymi z ustawy, jednak z istotnym rozszerzeniami. Jeżeli organizacja przygotowuje się do uznania praw osób fizycznych już teraz, przejście na RODO powinno być stosunkowo proste. Obecnie jest dobry moment na sprawdzenie procedur i wypracowanie sposobu postępowania w przypadku wniosków dotyczących np. usunięcia danych osobowych. Czy używane teraz systemy pomogą odnaleźć i usunąć te dane? Kto dokona usunięcia? Prawo do przenoszenia danych jest czymś nowym. To rozbudowana forma dostępu do danych, w której należy zapewnić dane w formie elektronicznej i w powszechnie używanym formacie. Wiele organizacji już teraz zapewnia dane w taki sposób, ale używa wydruków papierowych lub w nieużywanym powszechnie formacie elektronicznym. Obecnie jest dobry moment na sprawdzenie procedur i wprowadzenie koniecznych zmian.
   
   
5. Wnioski o udostępnienie danych
   Należy uaktualnić procedury i zaplanować, jak obsługiwane będą wnioski w ramach nowych terminów oraz zapewnić wszystkie dodatkowe informacje. Zasady postępowania z wnioskami o udostępnienie danych zmienią się w ślad za RODO. W większości przypadków nie będzie można pobierać opłat za zrealizowanie wniosków i co do zasady organizacje będą miały miesiąc na ich zrealizowanie, w porównaniu z obecnie obowiązującym terminem 40 dni. Obowiązywać będą inne powody do niewyrażenia zgody na udostępnienie danych – jawnie niezasadne lub zbyt szerokie wnioski będzie można odrzucić lub pobrać opłatę za ich realizację. W przypadku odmowy trzeba będzie mieć wdrożone polityki i procedury, dzięki którym będzie można dowieść, dlaczego odmowa spełnia określone kryteria. Należało będzie również zapewnić dodatkowe informacje osobom składającym wnioski, np. o okresach przetrzymywania danych oraz prawie do skorygowania niepoprawnych danych. Jeżeli organizacja obsługuje dużą liczbę wniosków o dostępy, wpływ tych zmian może być znaczący, więc konsekwencje logistyczne szybszej obsługi wniosków i obowiązku dostarczania dodatkowych informacji będą wymagały starannego rozważenia. Stworzenie systemów, które umożliwią zainteresowanym łatwy dostęp do informacji online, może docelowo pozwolić organizacji uniknąć wielu kosztów administracyjnych. Należy rozważyć przeprowadzenie analizy kosztów i korzyści wprowadzenia dostępu online.
   
   
6. Podstawy prawne przetwarzania danych osobowych
   Trzeba sprawdzić różne stosowane sposoby przetwarzania danych, zidentyfikować jego podstawy prawne i je udokumentować. Wiele organizacji nie rozważa podstaw prawnych przetwarzania danych osobowych. W obliczu obecnie obowiązującego prawa nie ma to żadnych praktycznych konsekwencji. Jednak zmieni się to w przypadku RODO, ponieważ prawa osób fizycznych będą zmodyfikowane w zależności od podstaw prawnych przetwarzania danych osobowych w danej organizacji. Najbardziej oczywistym przykładem jest to, że osoby będą miały większe prawo do usunięcia swych danych tam, gdzie podstawą przetwarzania danych osobowych jest ich zgoda. Konieczne będzie również objaśnienie podstaw prawnych przetwarzania danych osobowych przy okazji informowania o polityce ochronie prywatności oraz przy odpowiedzi na wnioski o udostępnienie danych. Podstawy prawne w RODO są w znacznym stopniu takie same jak w ustawie o ochronie danych osobowych, dlatego zapewne będzie można przejrzeć różne sposoby przetwarzania danych, jakie organizacja już stosuje i zidentyfikować ich podstawy prawne. Tu również należy to udokumentować, aby pomóc sobie uzyskać zgodność z wymogami RODO dotyczącymi „odpowiedzialności”.
   
   
7. Zgoda na przetwarzanie danych osobowych
   Należy zrobić przegląd sposobów zabiegania o dane, ich pozyskiwania i zapisywania oraz stwierdzić, czy wymagają one zmian. Podobnie jak ustawa o ochronie danych osobowych, RODO odnosi się zarówno do „zgody”, jak i do „wyraźnej zgody”. Różnica między nimi nie jest jasno zdefiniowana. Obydwie zgody muszą być udzielone świadomie, być szczegółowe, dobrowolne i jednoznaczne. Zgoda musi być udzielona jako pozytywne potwierdzenie akceptacji przetwarzania danych osobowych – nie może być domyślna, wynikać z domyślnie zaznaczonych pól lub z braku działania. Jeżeli organizacja opiera się na zgodzie osób fizycznych na przetwarzanie ich danych, musi się upewnić, że spełnia standardy określone w RODO. W przeciwnym wypadku musi dostosować swe mechanizmy dotyczące zgód lub znaleźć alternatywne rozwiązanie. Warto zauważyć, iż zgoda musi być weryfikowalna i że osoby fizyczne mają generalnie więcej praw, jeśli podstawą przetwarzania danych jest ich zgoda. W RODO jasno określono, że kontrolerzy muszą być w stanie wykazać, że zgody udzielono. Dlatego trzeba dokonać przeglądu systemów stosowanych do rejestrowania zgód, by upewnić się o posiadaniu skutecznej ścieżki audytu.
   
   
8. Dzieci
   Należy już zacząć rozważać wdrożenie systemów dla weryfikacji wieku osób i pozyskiwania zgody na czynności związane z przetwarzaniem danych od rodzica lub opiekuna prawnego. Po raz pierwszy RODO podda szczególnej ochronie dane osobowe dzieci, zwłaszcza w kontekście komercyjnych usług internetowych, takich jak portale społecznościowe. Streszczając: jeżeli organizacja zbiera dane dotyczące dzieci (w Wielkiej Brytanii dzieci zostaną prawdopodobnie zdefiniowane jako osoby poniżej 13 roku życia), potrzebna będzie zgoda rodzica lub opiekuna prawnego w celu zgodnego z prawem przetwarzania danych osobowych. Może to mieć znaczące konsekwencje, jeżeli organizacja kieruje swoje usługi do dzieci i pozyskuje ich dane osobowe. Trzeba pamiętać, że zgoda musi być weryfikowalna, a podczas pozyskiwania danych dzieci informacje o polityce ochronie prywatności muszą być zapisane językiem dla nich zrozumiałym.
   
   
9. Naruszenia ochrony danych
   Trzeba upewnić się, że działają odpowiednie procedury do wykrywania, raportowania i badania naruszenia ochrony danych osobowych. Od niektórych organizacji już teraz wymaga się, by powiadamiały ICO (ewentualnie także inne instytucje) w przypadku wystąpienia naruszenia ochrony danych osobowych. Jednak RODO wprowadzi powszechny obowiązek powiadamiania o naruszeniu. Będzie to nowe rozwiązanie dla wielu organizacji. Nie o wszystkich naruszeniach należało będzie powiadamiać ICO - jedynie o tych, w których osoba fizyczna będzie mogła doznać jakiegoś uszczerbku, spowodowanego przykładowo kradzieżą tożsamości lub naruszeniem zasady poufności. Organizacja powinna rozpocząć prace już teraz, by upewnić się, że stosuje odpowiednie procedury służące wykryciu, zaraportowaniu i zbadaniu naruszenia ochrony danych osobowych. Może to obejmować ocenę rodzaju posiadanych danych i udokumentowanie, które z nich podlegają obowiązkowi powiadomienia o naruszeniu. W niektórych przypadkach konieczne będzie powiadomienie osób, których dane były bezpośrednio przedmiotem naruszenia, na przykład wtedy, gdy naruszenie mogłoby je narazić na straty finansowe. Większe organizacje będą musiały stworzyć polityki i procedury do zarządzania naruszeniami na poziomie centralnym lub lokalnym. Należy zauważyć, że niedopełnienie obowiązku zaraportowania naruszenia, gdy jest ono wymagane, może wiązać się z karą finansową, podobnie jak samo naruszenie.
   
   
10. Ochrona danych w fazie projektowania oraz ocena skutków w zakresie ochrony danych
    Należy już teraz zapoznać się z wytycznymi wydanymi przez ICO dotyczącymi oceny skutków w zakresie ochrony danych (Privacy Impact Assessments – PIAs) i wypracować sposób wdrożenia ich w organizacji. Wytyczne te pokazują, jak ocena skutków w zakresie ochrony danych może być powiązana z innymi procesami w organizacji, takimi jak zarządzanie ryzykiem i zarządzanie projektami. Należy rozpocząć definiowanie sytuacji, w których konieczne będzie przeprowadzenie oceny skutków w zakresie ochrony danych. Kto to zrobi? Kto jeszcze powinien w tym uczestniczyć? Czy proces będzie prowadzony centralnie czy lokalnie? Dobrą praktyką jest przyjmowanie podejścia ochrony danych w fazie projektowania i przeprowadzanie oceny wpływu na politykę ochrony prywatności jako części tego podejścia. Ochrona danych w fazie projektowania i podejście zmierzające do minimalizacji danych zawsze było wymogiem domyślnie wynikającym z głównych zasad ochrony danych. Jednak RODO wprowadzi to jako wyraźny wymóg prawny. Warto zauważyć, że nie zawsze konieczne jest przeprowadzenie oceny skutków w zakresie ochrony danych – jest ono wymagane w sytuacjach wysokiego ryzyka, na przykład przy wdrażaniu nowej technologii lub gdy operacja profilowania może istotnie wpłynąć na osoby fizyczne. Trzeba odnotować, że tam, gdzie oceny skutków w zakresie ochrony danych, czyli PIA (Privacy Impact Assessment) lub DPIA (Data Protection Impact Assessment), jak to jest określone w RODO, wskazują na wysoko ryzykowane przetwarzanie danych, należało będzie skonsultować się z ICO celem pozyskania opinii, czy operacje przetwarzania są zgodne z RODO.
    
    
11. Inspektorzy Ochrony Danych
    Jeśli jest taka potrzeba, należy wyznaczyć Inspektora Ochrony Danych lub inną osobę, która odpowiedzialna będzie za zgodność z regulacjami dotyczącymi ochrony danych. Trzeba też ocenić, gdzie w organizacji ta funkcja zostanie umiejscowiona oraz przeprowadzić przygotowania w zakresie ładu korporacyjnego. RODO wymaga, by niektóre organizacje wyznaczyły Inspektora Ochrony Danych (Data Protection Officer – DPO). Dotyczy to na przykład władz publicznych i organizacji, których działalność łączy się z regularnym i systematycznym monitoringiem udostępniania danych na dużą skalę. Ważne jest upewnienie się, że ktoś w organizacji lub zewnętrzny doradca w zakresie ochrony danych w poprawny sposób bierze na siebie odpowiedzialność za zgodność z zasadami ochrony danych i dysponuje wiedzą, wsparciem i umocowaniem pozwalającymi na skuteczne wykonywanie swych zadań. Dlatego już teraz trzeba rozważyć, czy konieczne będzie wyznaczenie inspektora, a jeżeli tak, trzeba ocenić, czy obecnie stosowane podejście do zgodności w ochronie danych będzie spełniać wymogi RODO.
    
    
12. Aspekty międzynarodowe
    Jeżeli organizacja działa na rynkach międzynarodowych, należy ustalić, któremu urzędowi nadzoru do ochrony danych podlega. RODO zawiera dość kompleksowe zapisy stwierdzające, który urząd nadzoru do ochrony danych odgrywa wiodącą rolę podczas badania skargi o charakterze międzynarodowym, np. gdy działanie związane z przetwarzaniem danych dotyka osób w różnych Krajach Członkowskich. Najprościej mówiąc, wiodący urząd jest ustalany w zależności od tego, gdzie ulokowana jest główna funkcja zarządzania organizacją i gdzie podejmowane są decyzje dotyczące przetwarzania danych. Przy tradycyjnej centrali (model oddziałowy) jest to łatwe do określenia. Trudniejsze natomiast dla firm o złożonej strukturze działających w wielu lokalizacjach, gdzie decyzje o różnych działaniach związanych z przetwarzaniem danych są podejmowane w różnych miejscach. W przypadku braku pewności co do tego, który urząd nadzoru jest wiodący dla organizacji, pomocne będzie określenie, gdzie organizacja podejmuje najistotniejsze decyzje o przetwarzaniu danych. Pomoże to ustalić „główną siedzibę”, a co za tym idzie wiodący urząd nadzoru.