Podstawowe kroki do wdrożenia RODO

Bezpośrednie stosowanie rozporządzenia Parlamentu Europejskiego (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane RODO - Dz. Urz. UE L119 z 4.05.2016) obejmie od dnia 25 maja br. wszystkie podmioty (w tym przedsiębiorców) przetwarzające dane osobowe. Przetwarzaniem jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie. A także pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Praktycznie można uznać, że nie ma w naszym kraju podmiotu, który w jakimś zakresie nie przetwarza danych osobowych czy to własnych pracowników, klientów czy też kontrahentów.

Czasu na wdrożenie zasad wynikających z RODO jest coraz mniej. Jednakże zakres czynności, które trzeba będzie podjąć zależy od tego w jaki sposób dotychczas dana jednostka przetwarzała dane osobowe i w jakim zakresie zapewniała im wymaganą ochronę. Jeżeli dany podmiot miał wdrożoną politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, to dostosowanie się do nowych wymagań nie będzie już takie trudne. Oczywiście są też takie pomioty, które mimo ciążących na nich obowiązków wynikających z ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) nic w tym zakresie nie robiły, wówczas pracy będzie zdecydowanie więcej. W uprzywilejowanej pozycji są także te jednostki, które powołały administratorów bezpieczeństwa informacji (ABI), one też powinny być lepiej przygotowane do nowych przepisów. Polskich przedsiębiorców będzie też obowiązywała nowa ustawa o ochronie danych osobowych (obecnie znajduje się na etapie legislacji). Co bardzo istotne, oba te dokumenty nie zawierają gotowych rozwiązań, jakie powinien wdrożyć administrator danych osobowych (ADO) w swojej jednostce, nie podają też zakresu wymaganej dokumentacji. Dostosowanie środków służących ochronie danych osobowych należy więc do administratora danych, który musi je wdrożyć po szczegółowej analizie zakresu i celu przetwarzanych danych.

Krok 1
Ustalenie zakresu przetwarzanych danych osobowych

GIODO od wielu miesięcy zachęca, aby przeprowadzić audyt przygotowawczy, mający na celu udokumentowanie jakie dane osobowe podmiot przetwarza, skąd pochodzą, na jakiej podstawie prawnej są przetwarzane, komu są przekazywane (np. zewnętrznym firmom informatycznym, księgowości) oraz w jaki sposób są one zabezpieczane. Warto sprawdzić w odniesieniu do jakich danych jest się administratorem danych, a jakie zostały podmiotowi przekazane do przetwarzania przez innych administratorów danych.

Krok 2
Ustalenie czy prawidłowo spełniane są obowiązki informacyjne

Zasady informowania o prawach osób, których dane są przetwarzane zawiera Rozdział III RODO. Znacząco zmienia on zakres obowiązków informacyjnych w stosunku do obecnych wymagań (art. 13 RODO). ADO mogą być zmuszeni uzupełnić dotychczas udzielane informacje, a nawet przygotować wzór nowej informacji, którą będą przekazywać osobom, od których będą pobierać dane. Należy też ustalić w jaki sposób będą przekazywane zaktualizowane informacje. Nasza krajowa ustawa o ochronie danych osobowych, będąca w przygotowaniu ma wyłączyć niektóre obowiązki informacji w przypadku administratorów danych realizujących zadania publiczne.

Krok 3
Realizacja uprawnień przysługujących osobom, których dane są przetwarzane

RODO stanowi, że osoba której dane są przetwarzane musi mieć kontrolę nad tym co dzieje się z jej danymi. Przyznaje uprawnienia:

• do bycia informowanym o operacjach przetwarzania,
   
• dostępu przysługującego osobie, której dane dotyczą,
   
• do sprostowania/uzupełnienia danych,
   
• do usunięcia danych (prawo do bycia zapomnianym),
   
• do ograniczenia przetwarzania,
   
• do przenoszenia danych,
   
• prawo do sprzeciwu,
   
• prawo do tego, by nie być profilowanym.

Część z tych uprawnień przysługuje osobom, których dane są przetwarzane już teraz. Jeśli procedury te są wdrożone w jednostce, należy sprawdzić czy działają one prawidłowo, tzn. czy dana osoba może skutecznie żądać sprostowania danych itp.

Krok 4
Sprawdzenie zgód na przetwarzanie danych osobowych

Jeżeli podmiot przetwarza dane na podstawie zgód pozyskiwanych od osób, których dane są przetwarzane, powinien zweryfikować czy zgody te są prawidłowo pobierane i stanowią odpowiednią podstawę prawną do przetwarzania danych. Warunki wyrażenia zgody zawiera art. 7 RODO. W przypadku oferowania usług tzw. społeczeństwa informacyjnego, należy sprawdzić czy będą przetwarzane dane osobowe dzieci.

Krok 5
Prowadzenie rejestru czynności przetwarzania danych

Od 25 maja br. zniknie obowiązek dokonywania zgłoszeń zbiorów przetwarzanych danych osobowych do GIODO. Art. 30 RODO określa zasady rejestrowania czynności przetwarzania. Przy czym opisane w tym artykule obowiązki nie dotyczą przedsiębiorców lub innych podmiotów zatrudniających mniej niż 250 osób. Jednak od tej zasady są wyjątki. Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (są to tzw. dane wrażliwe dotyczące np. zdrowia) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Przepisy unijnego rozporządzenia RODO dostępne są w serwisie www.przepisy.gofin.pl.

Krok 6
Środki służące zabezpieczeniu przetwarzanych danych

Należy ustalić czy jednostka jest przygotowana organizacyjnie i technicznie do zabezpieczenia przetwarzanych danych osobowych. Ani RODO, ani krajowa ustawa o ochronie danych osobowych nie zawierają technicznych rozwiązań jakie należy wdrożyć w celu zabezpieczenia danych osobowych. Wszystkim danym powinna być zapewniona domyślna ochrona co oznacza, że dane osobowe nie mogą być domyślnie dostępne, muszą być natomiast właściwie zabezpieczone. Przetwarzanie danych osobowych musi następować z zapewnieniem poufności, integralności i odporności systemów. Wskazówki dotyczące tego jakie należy stosować zabezpieczenia znajdują się w art. 32 RODO. Stanowi on, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Krok 7
Powołanie Inspektora Ochrony Danych

Należy sprawdzić czy jednostka będzie miała obowiązek powołania inspektora ochrony danych (IOD) (obecnie administrator bezpieczeństwa informacji ABI). Taki obowiązek obciąża instytucje publiczne, ale też przedsiębiorców przetwarzających dane na szeroką skalę. Warto się zastanowić nad powołaniem takiej osoby, nawet pomimo braku takiego obowiązku, aby lepiej wywiązywać się z obowiązków wynikających z RODO.

Krok 8
Szkolenia personelu

Należy zastanowić się nad przeszkoleniem personelu administratora danych, zwłaszcza osób mających bezpośrednio do czynienia z przetwarzanymi danymi. Pomocny w tym zakresie może być właśnie inspektor ochrony danych.

Krok 9
Zgłaszanie naruszeń ochrony danych

Administratorów danych osobowych będzie obciążał nowy obowiązek zgłaszania incydentów naruszenia ochrony danych, w sytuacji gdy będzie ono skutkowało ryzykiem naruszenia praw i wolności osób np. dojdzie do kradzieży tożsamości. Wówczas o takim zdarzeniu trzeba będzie informować Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin. W związku z tym należy wypracować procedury szybkiego zgłaszania tych incydentów.