Kiedy rozpocząć prace dostosowawcze do RODO i jakie konkretne działania należy podjąć, aby przez cały proces przejść sprawnie i zwiększyć szanse na skuteczne wdrożenie w przewidzianym terminie? Czy wszystko robić samemu, czy skorzystać z usługi zewnętrznej firmy? Oczywiście nie ma jednej, uniwersalnej odpowiedzi na każde z tych pytań.
Dziennik Gazeta Prawna
Pewne jest jedno – każdy przedsiębiorca musi we własnym zakresie ocenić, jaki wybrać model dostosowania prowadzonej działalności do wymagań. Przy czym jedną z najważniejszych czynności w działaniach przygotowawczych będzie przegląd procesów biznesowych, w których przetwarzane są dane osobowe. Pozwoli to podjąć kolejny krok: ocenić, jakie zmiany trzeba wprowadzić, oraz wyszukać ewentualne luki
25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za cztery miesiące upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do nowych wymagań. W praktyce oznacza to, że od tego dnia krajowy organ nadzoru – Urząd Ochrony Danych Osobowych (który powstanie w miejsce obecnego GIODO) będzie mógł sprawdzić, jak przedsiębiorcy przygotowali się do stosowania zmienionych przepisów. Wydaje się, że o obowiązkach wynikających z unijnego rozporządzenia powiedziano już bardzo dużo, jednak obserwujemy, że wiele polskich firm nawet nie rozpoczęło prac zmierzających do jego wdrożenia, a niektórzy wciąż jeszcze nie mają świadomości, że taki obowiązek na nich spoczywa. Kontynuujemy zatem serię artykułów poradniczych, w których przybliżymy najważniejsze zmiany i nowe obowiązki wynikające z RODO. Dziś wskazujemy, od czego zacząć przygotowania do wdrożenia RODO i jak rozplanować prace.
W pierwszym odcinku cyklu ukazał się tekst:
Przedsiębiorcy nie mogą czekać na uchwalenie zmian do aktów prawa krajowego, które są planowane w celu dostosowania polskiego porządku prawnego do wymagań RODO. Brak tych aktów – co do zasady – nie powinien wstrzymywać rozpoczęcia i prowadzenia prac w oparciu o wymagania samego RODO, zwłaszcza że nie wiadomo, kiedy dokładnie nowe przepisy zostaną uchwalone i jakie będzie ich ostateczne brzmienie.
WDRAŻAĆ SAMEMU CZY Z ZEWNĘTRZNYM DORADCĄ
Istnieją co najmniej dwa modele wdrożenia RODO. Zasadniczo przedsiębiorcy albo zlecają całość prac do wykonania zewnętrznemu doradcy, albo wykonują je samodzielnie. Jest także model pośredni, w którym zewnętrzny doradca wspiera przedsiębiorcę tylko w wybranych obszarach.
Kluczowe pytanie, na które należy odpowiedzieć przed rozpoczęciem prac wdrożeniowych, skupia się zatem na wyborze określonego modelu. Od tego zależeć będzie dalszy tok prac, ale też związane z tym koszty i przebieg wdrożenia.
Model 1: wsparcie zewnętrzne. Całość prac zlecana jest w tym przypadku podmiotowi wyspecjalizowanemu w tematyce ochrony danych osobowych. Wymaga to starannego wyboru dostawcy takiej usługi. Tego typu podmioty to nie tylko kancelarie prawne, lecz także firmy doradcze lub firmy świadczące usługi z zakresu szeroko rozumianego bezpieczeństwa informacji. Zdarza się, że takie firmy na różnych warunkach współpracują ze sobą, biorąc odpowiedzialność za wybraną część wdrożenia (np. prawną albo technologiczną). Wybór doradcy należy poprzedzić jednak dogłębną analizą rynku, a kluczowym czynnikiem przy tym powinno być doświadczenie przy podobnych projektach związanych z ochroną danych osobowych.
O wyborze dostawcy w tego typu projektach nie powinna natomiast decydować sama cena. Wynika to z tego, że akurat przy wdrożeniu RODO jakość usługi ma niebagatelne znaczenie i wpływ na bezpieczeństwo prawne administratora danych lub podmiotu przetwarzającego.
Model ten wiąże się z pewnym istotnym ryzykiem, o czym warto pamiętać szczególnie wtedy, kiedy dane osobowe mają doniosłą wartość dla przedsiębiorstwa. Ryzyko to polega na niewystarczającym przyswojeniu przez kadry administratora lub podmiotu przetwarzającego niezbędnej wiedzy wykorzystywanej przy wdrożeniu RODO, jak też zdobywaniu przez kluczowe osoby zaangażowane w przetwarzanie danych bardzo ograniczonego doświadczenia w przetwarzaniu danych osobowych zgodnie z wymogami RODO. Niewątpliwą jego zaletą jest natomiast znikome zaangażowanie zasobów podmiotu, u którego następuje wdrożenie.
Model 2: samodzielnie. W tym modelu przedsiębiorcy wdrażają wymagania RODO w całości we własnym zakresie. W takim przypadku osoby legitymujące się odpowiednią ekspertyzą oraz doświadczeniem (np. w zakresie bezpieczeństwa) same tworzą plan wdrożenia i konsekwentnie go realizują. Samodzielne wdrożenie RODO wymaga rozległej wiedzy, często zdobywanej podczas wielu szkoleń zewnętrznych. Zaletą tego modelu jest gruntowne poznanie wymagań RODO i doświadczenie, które pozostaną w danej organizacji. Model takiego działania pozwala ograniczyć możliwość wystąpienia sytuacji, w której po 25 maja 2018 r. przedsiębiorca będzie zmuszony do korzystania z usług podmiotu zewnętrznego, który będzie nadzorował zgodność przetwarzania danych z nowym prawem.
Model 3: mieszany. Obserwowany jest także model pośredni, w którym administrator lub podmiot przetwarzający, planując wdrożenie RODO, określają zadania, które ze względu na poziom ich skomplikowania zostaną powierzone do wykonania wyspecjalizowanemu podmiotowi, a pozostałe prace wykonują we własnym zakresie. Takie podejście pozwala na zdobycie wiedzy i doświadczenia przez pracowników administratora lub podmiotu przetwarzającego umożliwiających dalsze samodzielne wykonywanie zadań w zakresie ochrony danych osobowych. Zmniejsza też ryzyko popełnienia błędów w kluczowych elementach wdrożenia przez wykorzystanie znajomości organizacji i procesów przedsiębiorstwa przez jego własnych pracowników. Korzystanie z pomocy wyspecjalizowanych zewnętrznych doradców ułatwia zaś rozwiązanie najtrudniejszych problemów i zapewnia wsparcie w celu umożliwienia wdrożenia na czas wymagań RODO. Model ten jednak wymaga dobrej koordynacji działań po stronie administratora lub podmiotu przetwarzającego i zapewnienia sprawnej współpracy między własnymi kadrami i zespołem zewnętrznego doradcy.
CZY CENTRALA POMOŻE
W przypadku podmiotów mających strukturę międzynarodową można się spodziewać, że znaczna część pracy związanej z wdrożeniem RODO będzie wykonana przez jednostkę centralną albo podmiot działający na jej zlecenie. Jest to ważne z kilku powodów.
Czerpanie z rozwiązań proponowanych przez centralną jednostkę struktury międzynarodowej pozwala zachować korporacyjny standard. To ważne szczególnie na gruncie wymagań RODO, na podstawie których administratorzy powinni sami wypracować odpowiedni standard zabezpieczenia danych osobowych. Na przykład centrala może ustalić obowiązujące jednostki lokalne stanowisko co do statusu poszczególnych spółek w grupie w odniesieniu do roli administratora lub podmiotu przetwarzającego. W praktyce jednostka centralna najczęściej przygotowuje strategię ochrony danych dla całej grupy oraz podstawowe polityki ochrony danych i wzory tych dokumentów, które są potrzebne dla wykazania rozliczalności zgodnie z wymaganiami RODO, a których dokładna treść nie jest wskazana w przepisach. Odnosi się to do sposobu udokumentowania przeprowadzenia oceny skutków przetwarzania dla ochrony danych lub projektowania ochrony danych. Bardzo istotnym elementem takiego wsparcia jest kwestia zapewnienia wdrożenia wymagań RODO w obszarze IT. Obserwujemy wiele korporacji, które scentralizowały wsparcie IT w taki sposób, że jednostki lokalne mają niewielki wpływ na stosowane rozwiązania informatyczne. W sytuacji gdy wdrożenie RODO wymaga zmian w systemach IT lub ma wpływ na wybór dostawców IT, wymagane będzie skuteczne (i wczesne) przygotowanie odpowiednich rozwiązań po stronie jednostki centralnej.
Ponadto korzystanie z wyników pracy jednostki centralnej pozwala uniknąć wykonywania tych samych czynności przez polską spółkę będącą częścią międzynarodowej grupy kapitałowej. Niemniej nawet przy bardzo rozbudowanej pomocy ze strony jednostki centralnej polscy przedsiębiorcy wciąż będą mieli sporo do zrobienia w zakresie wdrożenia, choćby w obszarze przygotowania polskich wersji językowych klauzul zgody na przetwarzanie danych osobowych, ustalenia podstawy prawnej przetwarzania danych osobowych na podstawie przepisów prawa polskiego, przygotowania polskiej wersji klauzul informacyjnych, ustalenia terminów przechowywania danych osobowych wynikających z polskich przepisów prawa czy przygotowania i wynegocjowania umów o powierzeniu przetwarzania danych osobowych z lokalnymi podmiotami przetwarzającymi. Warto zwrócić uwagę na fakt, że w praktyce jednostki centralne, które kierują się swoim harmonogramem wdrożenia RODO, pozostawiają mało czasu lokalnym spółkom na wykonanie takich własnych zadań. Przedsiębiorcy polscy powinni zatem – uwzględniając harmonogram działań jednostki centralnej – zapewnić sobie wystarczający czas na wykonanie swoich zadań przed 25 maja tego roku.
BUDOWANIE ŚWIADOMOŚCI W ZESPOLE
Istotne jest zbudowanie świadomości wszystkich osób, które będą zaangażowane w przetwarzanie danych osobowych u administratora danych lub podmiotu przetwarzającego po 25 maja 2018 r. Dzięki temu wdrażanie przebiegać będzie sprawniej.
Niezmiernie ważne jest zaangażowanie w proces wdrożenia RODO także zarządu spółki lub osób zarządzających innymi formami przedsiębiorstw. Pozwoli to na pełne zrozumienie problemu osobom, które mają na nią decydujący wpływ. Szczególną uwagę należy poświęcić również działom marketingu, analityki, sprzedaży, kadr, IT i compliance.
Sposób przekazywania wiedzy na temat RODO może mieć oczywiście różną formę, chociaż najlepszy efekt dają szkolenia dedykowane konkretnemu administratorowi czy podmiotowi przetwarzającemu. Umożliwia to przedstawienie obowiązków wynikających z RODO w kontekście procesów biznesowych administratora lub podmiotu przetwarzającego. Na rynku regularnie przeprowadzane są szkolenia zamknięte z tej tematyki. Co równie ważne, Biuro Generalnego Inspektora Ochrony Danych Osobowych organizuje konferencje otwarte (i bezpłatne) z tematyki RODO, na które warto oddelegować osoby zaangażowane w prace wdrożeniowe. Oczywiście dostępnych jest wiele studiów podyplomowych z tego zakresu, co długoterminowo również przyniesie oczekiwany efekt. Ciekawym pomysłem jest także budowanie świadomości w oparciu o grywalizację, czyli zwiększanie zaangażowania ludzi i poszerzanie ich wiedzy w oparciu o działania wykorzystywane w grach w sytuacjach, które grami nie są, w tym związanych z wdrożeniem i stosowaniem wymagań RODO. Tego typu usługi są już obecne na polskim rynku i warto się nimi zainteresować na etapie podnoszenia świadomości i wiedzy o RODO. Celem tego procesu jest upewnienie się, czy wszystkie osoby zaangażowane w proces wdrożenia rozumieją, dokąd zmierza taki proces i jakie mają być jego efekty. Im większa świadomość, tym wdrożenie RODO powinno przebiegać sprawniej. Obserwujemy, że wdrożenie RODO obciąża dodatkowo osoby, które równolegle wykonują swoją bieżącą pracę (np. w działach marketingu, HR, IT). Świadomość znaczenia zmian wynikających z RODO i ich wpływu na wykonywanie bieżącej pracy ułatwia im zrozumienie konieczności wykonania dodatkowych zadań.
Najważniejsze jest przy tym uświadomienie zespołowi, że 25 maja 2018 r. to dopiero początek, bowiem praca z RODO będzie stałym elementem prowadzonej działalności i każdego z procesów, w których przetwarzane są dane osobowe. Warto zatem podkreślić, że budowanie świadomości nie powinno się ograniczać do odbycia kilku szkoleń przez wybrane osoby. Wynika to choćby z tego, że wciąż brakuje regulacji krajowych odnoszących się do RODO, a proces ich uchwalania może zająć jeszcze kilka miesięcy. Ponadto niezmiernie istotna jest bieżąca wiedza o stanowiskach co do poszczególnych problemów prawnych zajmowanych nie tylko przez polski organ nadzoru, ale też organy z innych krajów, jak również stanowiska publikowane regularnie przez tzw. Grupę Roboczą art. 29 będącą ciałem doradczym przy Komisji Europejskiej. Wśród najbardziej aktywnych organów ochrony danych osobowych publikujących ciekawe opracowania na temat RODO na pierwszy plan wysuwa się brytyjski ICO (Information Commissioner’s Office) i francuski CNIL (Commission Nationale de l’Informatique et des Libertés). Ten ostatni przygotował ostatnio narzędzie dostępne na zasadzie open-source do przeprowadzania oceny skutków przetwarzania dla ochrony danych, czyli Privacy Impact Assessment.
PRZEGLĄD PROCESÓW
Samo wdrożenie RODO powinno się rozpocząć od przeglądu procesów biznesowych, w których przetwarzane są dane osobowe. Trzeba sporządzić szczegółową listę takich sytuacji.
Dla przypomnienia należy wskazać, że mówiąc o przetwarzaniu, mamy na myśli sytuację, w której na danych osobowych wykonywane są operacje takie jak: zbieranie, opracowywanie, przechowywanie, modyfikowanie albo usuwanie. Katalog takich czynności jest otwarty, co warto mieć na uwadze, analizując to zagadnienie.
W praktyce, zanim rozpoczniemy pracę zmierzającą do stworzenia listy takich procesów, należy się upewnić, czy przegląd nie został przeprowadzony już wcześniej na inne potrzeby (co jest dość często spotykane, a pozwoli zaoszczędzić czas i zasoby, które można poświęcić na inne zadania). Tego typu analiza ma znaczenie z kilku względów. Przede wszystkim pozwala dokonać rzetelnej oceny, jak dużo pracy będzie do wykonania przy wdrożeniu RODO. To oczywiście umożliwi stworzenie realnego harmonogramu prac wdrożeniowych, który będziemy realizowali (w założeniu) do 25 maja 2018 r., jak też podział pracy związanej z implementacją RODO pomiędzy członków zespołów, którzy będą w niej uczestniczyli.
Z listy procesów biznesowych możliwe będzie wybranie także tych, które są np. wspólne dla całej grupy kapitałowej, co z jednej strony umożliwi ujednolicenie podejścia do problemów prawnych wynikających z RODO i pojawiających się w całej grupie w związku z tymi procesami, a z drugiej pozwoli zaoszczędzić czas, ponieważ ta sama praca nie będzie powielana.
Na podstawie liczby i charakterystyki procesów biznesowych, w których przetwarzane są dane osobowe, będzie można dokładniej określić koszty związane z wdrożeniem. To ważne, szczególnie przy wyborze modelu polegającego na zaangażowaniu podmiotu trzeciego do wykonania całości albo części pracy związanej z wdrożeniem wymagań RODO. Bez przekazania listy takich procesów, albo chociaż ich liczby, rzetelne określenie kosztów wdrożenia może być trudne albo wręcz niemożliwe.
Wyróżniając procesy biznesowe, warto pamiętać o tym, żeby skupić się na odpowiednim poziomie granulacji procesów, które są przedmiotem zainteresowania osób dostosowujących działalność firmy do wymagań RODO. Stwierdzenie, że mamy do czynienia z procesem o nazwie „zatrudnianie pracowników”, może zatem być niewystarczające. Zamiast tego można ustalić występowanie np. procesów określanych jako „rekrutacja pracowników”, „monitorowanie poczty elektronicznej pracowników” albo „zwolnienie pracownika”. Starajmy się zatem zawsze znaleźć jakąś cechę wyróżniającą dany proces od innych w świetle przepisów RODO, głównie pod kątem celu przetwarzania danych osobowych. Niektóre przedsiębiorstwa wyróżnią nawet kilkadziesiąt procesów biznesowych, które należy dostosować do RODO, inne zaś kilkanaście. Zależy to głównie od typu działalności danej firmy.
INWENTARYZACJA DANYCH I ZBIERANIE INNYCH INFORMACJI
Jeśli mamy już kompletną listę procesów biznesowych, w których przetwarzane są dane osobowe, możemy przystąpić do kolejnego etapu. Czas na zebranie informacji o tym, jak i jakie dane są przetwarzane w każdym z procesów.
To jedno z ważniejszych zadań, które jest niezbędne do wdrożenia wymagań RODO, ponieważ jego wykonanie umożliwia stworzenie rejestru czynności przetwarzania danych osobowych (wymaganego przepisami RODO). W rejestrze takim trzeba ująć:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora i wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach informacje o odpowiednich zabezpieczeniach związanych z takim transferem;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Choćby tylko na potrzeby stworzenia rejestru czynności przetwarzania, katalog informacji do zebrania jest szeroki. Inwentaryzacja danych obejmuje oczywiście także dane przetwarzane w systemach IT, co wymaga szczegółowej analizy nie tylko systemów zlokalizowanych w Polsce, lecz także wykorzystywanych centralnie w grupie kapitałowej.
Warto także zwrócić uwagę na to, że nierzadko podmiot wdrażający RODO przetwarza dane osobowe przy okazji różnych procesów biznesowych, mając raz status administratora, a raz podmiotu przetwarzającego, co nie pozostanie bez wpływu na zakres informacji, które należy zebrać. Podmiot przetwarzający jest bowiem zobowiązany do prowadzenia rejestru kategorii czynności przetwarzania danych osobowych, przedstawiającego obraz przetwarzania danych w odniesieniu do każdego administratora, na rzecz którego je przetwarza.
ANALIZA LUK
W kolejnym kroku należy rozpoznać luki w naszych procesach. Taka analiza polega na przeprowadzeniu badania zgodności przetwarzania danych z nowymi przepisami.
Od jej wyników zależą następne kroki, które będą miały miejsce na etapie bezpośrednio związanym z dostosowywaniem procesów przetwarzania danych osobowych do nowych wymagań ochrony danych. Efektem analizy powinny być rekomendacje umożliwiające nie tylko wprowadzenie zmian do procesów biznesowych (np. w zakresie okresów przechowywania danych lub sposobu korzystania z danych osobowych na potrzeby marketingowe), lecz także wskazujące, które dokumenty wykorzystywane w działalności spółki powinny zostać zmienione.
RELACJE Z PODMIOTAMI TRZECIMI
Wdrożenie RODO będzie najprawdopodobniej wymagało zmiany większości umów, na mocy których administrator powierzył podmiotowi przetwarzającemu dane osobowe do przetwarzania.
Ten element wdrożenia należy od samego początku eksponować ze względu na to, że w dużej mierze jego rozwiązanie leży poza wyłączną decyzyjnością administratora. W praktyce warto już na początku procesu wdrożeniowego zebrać informacje o wszystkich takich podmiotach (tzw. procesorach) i zweryfikować zawarte z nimi umowy. Po analizie umów może się okazać, że wobec niespełniania przez nie kryteriów stawianych przez RODO, trzeba będzie je zmienić. Tę część wdrożenia warto zaplanować odpowiednio wcześniej – przygotowanie propozycji treści aneksów umów już zawartych wymaga określonego czasu, podobnie jak prawdopodobne negocjacje z dostawcą usługi przetwarzania danych. W związku z wdrożeniem wymagań RODO przez takich dostawców usług możliwe jest także podniesienie cen tych usług – choćby ze względu na bardziej wymagające podejście do bezpieczeństwa danych – co także może stać się elementem wydłużonego procesu negocjacyjnego.
Warto poświęcić również nieco uwagi kwestii komunikacji z podmiotami trzecimi. Wdrożenie RODO można rozpocząć od przygotowania i wysłania informacji o nadchodzących zmianach oraz planach administratora związanych z RODO odpowiednio wcześniej. To pozwoli obu stronom na podjęcie niezbędnych przygotowań.
DALSZE DZIAŁANIA
Rozporządzenie nie podaje szczegółowych rozwiązań dotyczących bezpieczeństwa danych osobowych podczas ich przetwarzania. Dlatego jego wdrożenie wymaga wypracowania własnych rozwiązań przez dane przedsiębiorstwo.
Kolejne działania związane z wdrożeniem wymagań RODO, takie jak ocena skutków przetwarzania dla ochrony danych osobowych, przygotowanie zmienionej dokumentacji ochrony danych, zmiany organizacyjne i proceduralne, wykonanie obowiązków informacyjnych lub zmiany w obszarze zarządzania bezpieczeństwem informacji i zasobów IT, wymagają indywidualnego podejścia i wypracowania własnych rozwiązań przez dane przedsiębiorstwo lub grupę przedsiębiorstw. Warto pamiętać, że RODO – odmiennie od znanych polskim przedsiębiorstwom ustaw – nie wskazuje gotowych rozwiązań odnośnie do wdrożenia wymagań dotyczących bezpieczeństwa danych osobowych. Dla jednych przedsiębiorców wdrożenie będzie zatem polegało na kluczowych zmianach organizacyjnych, podczas gdy dla innych modyfikacje skupią się na obszarze dokumentacyjnym. Dla jeszcze innych istotne staną się zmiany w obszarze informatycznym, podczas gdy inne obszary będą mniej absorbujące.
PODSUMOWANIE
Wdrożenie RODO wymaga solidnego i przemyślanego planu, poprzedzonego pracą zmierzającą do zebrania zasadniczych informacji. Proces ten wymaga bacznej uwagi i akceptacji ze strony zarządu spółki lub osób zarządzających w innych formach przedsiębiorstw, bez którego szanse powodzenia wdrożenia spadają. Jednocześnie nie ma jednej metody wdrożenia, która byłaby odpowiednia dla wszystkich firm. Stąd aby uniknąć błędów popełnianych przez innych, warto rozważyć skorzystanie – w rozsądnym zakresie – z doświadczeń podmiotów, które już w tym procesie uczestniczą. Motywacją do wdrożenia wymagań RODO nie powinny być potencjalnie wysokie sankcje. Proces wprowadzania nowych przepisów w życie przebiega bowiem sprawniej, kiedy podchodzimy do niego jak do szansy, np. na uporządkowanie sposobu przetwarzania danych w organizacji, albo też odnalezienia nowych metod dotarcia do klientów.