Fundamenty
Aby rozpocząć działania zmierzające do stworzenia dobrze funkcjonującego systemu ochrony danych osobowych w Twojej firmie, musisz przede wszystkim wiedzieć, jaką rolę w nim odgrywasz. Niezależnie od tego, czy prowadzisz działalność jednoosobowo, w formie spółki, stowarzyszenia, fundacji czy organu publicznego, jeśli przetwarzasz w związku z tym dane osobowe (choćby swoich pracowników), stajesz się administratorem danych osobowych. Jest to centralny podmiot ustalający cele i sposoby przetwarzania danych, równocześnie je nadzorujący, co pociąga za sobą liczne zadania, których niewykonanie może rodzić szereg negatywnych konsekwencji, w tym astronomiczne kary pieniężne.
Oczywiście zasadniczy akt, którego znajomość jest nieodłączna przy dostosowywaniu organizacji do aktualnych wymogów prawnych (a także na dalszym etapie – przy utrzymywaniu zgodności), to RODO. Jego treść udostępniamy bezpłatnie w opracowaniu „RODO nawigator”, które możesz znaleźć pod tym linkiem . Zawiera ono zaktualizowany tekst RODO (ze sprostowaniem wydanym przez Komisję Europejską), treść ustawy z 10 maja 2018 r. o ochronie danych osobowych, listę najważniejszych wytycznych Grupy Roboczej Art. 29 oraz Europejskiej Rady Ochrony Danych wraz z linkami do ich pobrania, interaktywne powiązania pomiędzy RODO a ustawą o ochronie danych osobowych oraz interaktywne powiązania pomiędzy RODO a konkretnymi wytycznymi, które wyjaśniają, jak je stosować.
Najważniejszy pierwszy krok
Jak wiadomo, same suche przepisy nie wystarczą, aby odpowiednio wdrożyć RODO w firmie. Jeśli zatem podejmiemy decyzję o rozpoczęciu tego procesu, konieczne jest opracowanie planu, na podstawie którego będzie on realizowany. Na kompleksowe przygotowanie organizacji składa się kilka elementów, m.in. przeszkolenie pracowników, sporządzenie dokumentacji czy audyt. w pierwszej kolejności szczególną uwagę należy zwrócić na ostatni z przywołanych elementów, pozwalający zbadać i ocenić stan organizacji w obszarze zarówno formalnoprawnym, jak i IT oraz w zakresie stosowanych zabezpieczeń fizycznych. Bez audytu niemożliwe jest podjęcie dalszych kroków zmierzających do osiągnięcia obranego celu.
Wymaga podkreślenia to, że z każdego audytu przeprowadzanego przez profesjonalny podmiot – taki jak ODO 24 – sporządzany jest raport zgodności z zasadami ochrony danych osobowych. Nie sposób pominąć, że audyt nie ogranicza się do dokonania wskazanej oceny. Treść raportu z działań zespołu audytowego obejmuje przede wszystkim rekomendacje oraz propozycje konkretnych rozwiązań i ulepszeń pozwalających osiągnąć zgodność funkcjonowania organizacji z RODO, a równocześnie zminimalizować ryzyka związane z przetwarzaniem danych osobowych.
Zważywszy na istotność dogłębnego zbadania organizacji pod każdym kątem, proponujemy Ci praktyczne narzędzie – listę audytową, umożliwiającą wstępne, samodzielne sprawdzenie, w jakim stopniu IT firmy zapewnia jej bezpieczeństwo, a w których miejscach wymaga udoskonalenia.
Ryzyko? Do analizy!
Organizacje wykonujące operacje na danych osobowych lub zestawach danych osobowych na gruncie RODO są co do zasady zobowiązane do zarządzania ryzykiem przetwarzania tych danych. Głównym instrumentem pozwalającym administratorowi na wywiązanie się z tej powinności jest ocena skutków dla ochrony danych (DPIA). To element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, dokonywany poprzez analizę operacji przetwarzania w konkretnej jednostce. Szacowanie, a następnie postępowanie z ryzykiem jest dość złożonym mechanizmem, w związku z czym warto zapoznać się z omówieniem zawartym w artykule „Szacowanie ryzyka zgodnie z RODO”.
Kwestią nierozerwalnie związaną z analizą ryzyka w przedmiotowym zakresie jest naruszenie ochrony danych osobowych, a w konsekwencji jego ocena. Realizację tego niełatwego zadania z pewnością ułatwi Ci kalkulator wagi naruszeń, pozwalający ustalić, czy w konkretnym przypadku występuje obowiązek zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych (UODO). Warto zapoznać się również z opracowaniem „Zarządzanie naruszeniami – plan działania”, które wskaże Ci ścieżkę postępowania w danej sytuacji.
Informacja to podstawa
Po wejściu w życie RODO znacząco wzrosła ilość informacji, jakie należy przekazywać osobom fizycznym, których dane dotyczą. Klauzula informacyjna powinna zawierać m.in.:
- dane administratora danych,
- kontakt do inspektora ochrony danych (o ile został powołany),
- cel przetwarzania,
- podstawę prawną przetwarzania,
- czas, przez jaki dane będą przetwarzane,
- informacje o przysługujących osobie fizycznej prawach w związku z przetwarzaniem jej danych osobowych.
Wszystkim przedsiębiorcom, którzy nie dostosowali jeszcze treści klauzul informacyjnych do wymogów RODO, polecamy artykuł „Klauzule RODO”, wyjaśniający, jak spełnić obowiązek informacyjny i jakie dane podawać.
Gdy powierzasz dane innym
W nowoczesnym modelu zarządzania przedsiębiorstwem za optymalne rozwiązanie przyjmuje się korzystanie z usług outsourcingu, co implikuje przekazywanie coraz większej ilości danych osobowych w ramach np. obsługi kadrowo-płacowej, wsparcia w prowadzeniu serwisów internetowych bądź mediów społecznościowych, działań promocyjno-marketingowych czy serwisu IT. w artykule „Powierzenie przetwarzania danych osobowych – czym dokładnie jest i kiedy je stosujemy? ” wyjaśniamy, co jest istotą powierzenia przetwarzania danych i kiedy do niego dochodzi.
Aby powierzanie danych podmiotom zewnętrznym było zgodne z RODO, musi odbywać się na podstawie umowy lub innego instrumentu prawnego. Przepis art. 28 RODO wskazuje obligatoryjne elementy, które powinny znaleźć się w umowie powierzenia przetwarzania danych osobowych. Wzór spełniający wymogi prawa możesz znaleźć w tekście „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – udostępniamy gotowy wzór” .
Oprócz zawarcia odpowiedniej umowy ważnym zadaniem administratora danych jest weryfikacja podmiotu przetwarzającego. Podmiot, z którego usług korzysta administrator, powinien bowiem zapewniać odpowiednie środki techniczne i organizacyjne pozwalające zabezpieczyć udostępniane dane. RODO jednak nie precyzuje, w jaki sposób administrator powinien zbadać i ocenić podmiot, któremu powierzy przetwarzanie swoich danych osobowych.
Problematykę dotyczącą oceny zgodności procesora z RODO oraz sposoby jego weryfikacji przedstawiamy szerzej w artykule „Zgodność procesora z RODO – sposoby weryfikacji”. Pod wskazanym linkiem znajdziesz również przygotowaną przez nas listę kontrolną, która może być alternatywą dla przeprowadzania audytu procesora przez administratora danych.
Pamiętaj o rejestrach
Wśród obowiązków, które przepisy RODO nałożyły zarówno na administratorów, jak i na podmioty przetwarzające (czyli podmioty, którym administrator zleca przetwarzanie danych, np. w ramach outsourcingu księgowości czy obsługi kadrowej), znajduje się prowadzenie rejestrów – odpowiednio rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania.
Prowadzony przez administratora rejestr czynności przetwarzania to dokument, który powinien zawierać m.in.:
- tożsamość oraz dane kontaktowe administratora,
- cele przetwarzania danych,
- opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
- opis technicznych i organizacyjnych środków bezpieczeństwa.
Trzeba pamiętać, że przedmiotowe rejestry to jedne z pierwszych dokumentów, o które może poprosić pracownik UODO podczas kontroli, gdyż pozwalają one na najlepsze rozeznanie w procesach przetwarzania danych osobowych w organizacji. Nie należy więc lekceważyć obowiązku ich prowadzenia. w tekście „Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO” nie tylko wyjaśniamy, jakie korzyści może przynieść organizacji prowadzenie rejestru, lecz także podajemy przykładowe wpisy, którymi możesz się zainspirować podczas budowania rejestrów dla własnej organizacji.
Po co ta dokumentacja?
Pełna dokumentacja ochrony danych osobowych, którą powinno przygotować kierownictwo organizacji, może składać się nawet z kilkudziesięciu różnego rodzaju dokumentów. To zbiór polityk, regulaminów oraz procedur, których opracowanie i wdrożenie jest nieodłącznym warunkiem zapewnienia zgodności organizacji z RODO. Mając świadomość, jak wymagające jest to zadanie, dzielimy się z Tobą naszym doświadczeniem w artykule „Jak stworzyć użyteczną dokumentację ochrony danych?”, zawierającym wskazówki dotyczące tego, jakie dokumenty i w jaki sposób należy przygotować.
IT równie istotne
Nie sposób zaprzeczyć, że właściwa dokumentacja stanowi jeden z trzonów systemu ochrony danych osobowych. Niemniej w toku konstruowania jego struktury osoby odpowiedzialne za organizację nie mogą zapomnieć o odpowiednim przygotowaniu drugiego z kluczowych obszarów, którym jest szeroko pojęte IT. Praca nad tą gałęzią jest o tyle trudna, że RODO jest aktem neutralnym technologicznie, niewskazującym wprost, jakich środków należy użyć, aby osiągnąć zgodność z przepisami.
W opracowaniu „Sprawdzenie jakości wdrożenia RODO w obszarze IT” – przygotowanym przez naszych ekspertów w tej dziedzinie – tłumaczymy, jak dokonać oceny stopnia dostosowania systemów teleinformatycznych do wymogów RODO. Warto zapoznać się także z przeanalizowanymi przez zespół ODO 24 podstawami i założeniami decyzji Prezesa UODO nakładającej na administratora karę pieniężną za niewystarczające zabezpieczenia w sferze IT.
W artykule „Kara UODO za brak prawidłowego mechanizmu uwierzytelniającego” omawiamy przyczyny wydania przedmiotowej decyzji przez organ nadzorczy, a przede wszystkim podpowiadamy, co zrobić, aby uniknąć nałożenia podobnej kary.
Jak z tym wszystkim sobie poradzić?
Trudno powiedzieć, czy RODO ma więcej przeciwników, czy zwolenników. Pewne jest jednak to, że nikt (choćby tego chciał) nie może przejść obok tematu ochrony danych osobowych obojętnie. Dlatego też tak istotne jest budowanie świadomości w tym obszarze – zarówno wśród administratorów czy innych osób mających do czynienia z danymi na co dzień, jak i wśród podmiotów danych osobowych, czyli osób fizycznych, którym przysługują określone uprawnienia na gruncie RODO.
Administrator – sprawujący nadzór nad przetwarzaniem danych osobowych – nie może zapomnieć o edukacji pracowników. Niestety najczęściej to właśnie ludzie są najsłabszym ogniwem, a ich błędy są przyczyną większości incydentów i naruszeń ochrony danych osobowych. Przychodząc w sukurs pracodawcom, proponujemy szeroki wachlarz szkoleń , w tym szkolenia otwarte, zamknięte oraz e-learning, spośród których każdy na pewno znajdzie model odpowiedni do potrzeb swojego podmiotu.
Jedną z najważniejszych osób, która powinna zostać wyznaczona w każdej organizacji, jest inspektor ochrony danych (IOD). Jego rolą jest zadbanie o to, aby jednostka funkcjonowała na co dzień w zgodzie z zasadami ochrony danych osobowych. Realizowane przez niego zadania to przede wszystkim bieżące doradzanie tak pracodawcy, jak jego pracownikom, a także informowanie ich i szkolenie. Ponadto IOD przeprowadza cyklicznie wewnętrzne audyty i systematycznie ocenia zgodność organizacji z RODO, wskazując pola do poprawy i wydając odpowiednie rekomendacje w tym zakresie. w razie potrzeby pośredniczy w kontaktach z Prezesem UODO i wspiera organizację podczas kontroli przeprowadzanej przez organ nadzorczy.
Należy jednak mieć na uwadze, że duża odpowiedzialność IOD, wiążąca się z wykonywaniem wskazanych zadań, niesie za sobą konieczność posiadania szerokiej, a przede wszystkim funkcjonalnej wiedzy, którą trudno uzyskać własnymi siłami. Kompleksowe przygotowanie do tej roli zapewnia nasz akredytowany czterodniowy kurs dla inspektorów ochrony danych (skierowany również do innych osób zajmujących się ochroną danych w organizacji bądź wspierających IOD). Wyczerpująco zaprezentowaliśmy w nim teorię, którą połączyliśmy z praktyką.
Podsumowanie
Uwzględniając powyższe, nie sposób zaprzeczyć, że zarządzających, którzy chcą osiągnąć i zachować zgodność z RODO, czeka wiele skomplikowanych zadań, takich jak tworzenie rejestrów i ewidencji, szkolenie pracowników, nadawanie upoważnień czy reagowanie na incydent. w uzyskaniu kontroli nad przetwarzaniem danych osobowych w organizacji może pomóc niezawodna aplikacja – ODO Nawigator. To przydatne narzędzie, za którego pośrednictwem administrator samodzielnie wypełni szereg spoczywających na nim obowiązków.
Choć wykorzystanie proponowanych dokumentów oraz pozostałych instrumentów stanowi niekwestionowaną pomoc dla osób odpowiedzialnych za ochronę danych osobowych, zdajemy sobie sprawę z tego, że nawet najbardziej doświadczony menedżer może pogubić się w gąszczu przepisów i wynikających z nich licznych wymogów. Dlatego jeśli potrzebujesz wsparcia – np. w realizacji któregokolwiek ze wskazanych zadań, w kompleksowym wdrożeniu RODO, przeprowadzeniu analizy ryzyka albo w wykonywaniu funkcji IOD – służymy pomocą!
Mówiąc o pomocy, nie można pominąć oferowanych przez nas bezpłatnych porad prawnych i informatycznych. w razie pojawienia się wątpliwości w trakcie Twojej (lub Twoich pracowników) pracy z danymi osobowymi zachęcamy do zadawania pytań za pośrednictwem formularza zamieszczonego na stronie ODO 24. Odpowiedzi udzielają nasi eksperci – będący doświadczonymi praktykami w swoich dziedzinach.
Mamy nadzieję, że dzięki dostarczonemu przez nas wsparciu bez trudu poradzisz sobie ze stawianiem pierwszych kroków w RODO, a ochrona danych osobowych stanie się dla Ciebie najprostszym i najprzyjemniejszym z obowiązków – niezależnie od tego, czy jesteś RODO-entuzjastą, czy RODO-sceptykiem.