Już tylko 10 dni pozostało do rozpoczęcia stosowania unijnego rozporządzenia RODO. To ostatni moment dla przedsiębiorców przetwarzających dane osobowe, aby sprawdzić, co jeszcze pozostało do zrobienia w celu wdrożenia unijnych wymagań w ich przedsiębiorstwach. Przedstawiamy listę zadań do wykonania. Może być pomocna przy sprawdzeniu stanu przygotowań do stosowania nowych przepisów.
Podsumowujemy dziś cykl tekstów mających na celu pomóc przedsiębiorcom w przygotowaniach do RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1).
Przedsiębiorcy, którzy mogą się wykazać wykonaniem obowiązków ze wszystkich wskazanych poniżej punktów listy kontrolnej, będą mogli ze spokojem uznać, że zdążyli z przygotowaniem się do stosowania RODO. Ci, którzy nie mogą jeszcze odznaczyć wszystkich punktów, powinni przynajmniej zaplanować zrealizowanie tych czynności i starać się wykonać je jak najszybciej. Warto przy tym wszystkim pamiętać, że wdrożenie RODO nie polega na przygotowaniu dokumentów, które następnie schowają do szuflady, ale na rzetelnym zastosowaniu wskazanych wymagań w praktycznej działalności.
● ZADANIE 1: Identyfikacja danych osobowych
W ramach tego zadania należy sprawdzić, czy w przedsiębiorstwie zostały zidentyfikowane wszystkie rodzaje operacji wykonywanych na danych osobowych, kategorie danych osobowych przetwarzanych w ramach wykonywania takich operacji, kategorie osób, których dane dotyczą, oraz cel przetwarzania danych osobowych. Prawidłowe wykonanie tego punktu ułatwi realizację dalszych zadań, w szczególności przygotowanie rejestru czynności przetwarzania danych osobowych.
● ZADANIE 2: Przygotowanie rejestru czynności przetwarzania danych osobowych
Ten nowy obowiązek dotyczy prawie wszystkich administratorów. Wprawdzie teoretycznie są z niego zwolnieni ci przedsiębiorcy, który zatrudniają mniej niż 250 osób, ale w praktyce jednak niewielu z nich skorzysta z tego zwolnienia. Powód? Jeśli przetwarzanie, którego dokonują zatrudniający mniej niż 250 osób, może powodować naruszenie praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego bądź obejmuje szczególne kategorie danych (np. o stanie zdrowia, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych) czy dane dotyczące wyroków skazujących i naruszeń prawa – przedsiębiorcy ci i tak będą zobowiązani taki rejestr prowadzić.
Rejestr czynności przetwarzania danych osobowych powinien zawierać:
1) nazwę (lub imię i nazwisko) administratora oraz jego dane kontaktowe (także imię i nazwisko lub nazwę oraz dane kontaktowe współadministratorów, przedstawicieli administratora oraz inspektora ochrony danych, jeśli ma to zastosowanie);
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą;
4) opis kategorii danych osobowych, których dotyczy przetwarzanie;
5) kategorie odbiorców, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
6) informacje o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz dokumentację odpowiednich zabezpieczeń – o ile ma to zastosowanie;
7) planowane terminy usunięcia poszczególnych kategorii danych – o ile jest to możliwe;
8) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – jeżeli jest to możliwe.
Obowiązek prowadzenia rejestru ciąży nie tylko na administratorze, ale także na podmiotach przetwarzających. Te drugie powinny przygotować i prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
W rejestrze kategorii czynności przetwarzania danych zawarte powinny być następujące informacje:
1) nazwa (lub imię i nazwisko) oraz dane kontaktowe podmiotu przetwarzającego oraz każdego administratora, w imieniu którego działa podmiot przetwarzający (gdy ma to zastosowanie, także dane przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych);
2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
3) gdy ma to zastosowanie – informacja o przekazaniu danych do państwa trzeciego i dokumentację odpowiednich zabezpieczeń;
4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
● ZADANIE 3: Minimalizacja zakresu przetwarzanych danych osobowych
Zgodnie z zasadą minimalizacji, wynikającą z przepisów RODO, przedsiębiorca powinien zapewnić, by dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Inaczej mówiąc, zadanie to obejmuje ustalenie, czy administrator nie przetwarza „za dużo” danych osobowych, i usunięcie tych, które wykraczają poza dane niezbędne do osiągnięcia celu przetwarzania.
● ZADANIE 4: Uporządkowanie retencji danych osobowych
Z przepisów RODO wynika zasada ograniczenia przechowywania. Zgodnie z nią przedsiębiorca nie powinien przechowywać danych osobowych w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Zadanie to obejmuje ustalenie, jak długo administrator może przechowywać poszczególne kategorie danych osobowych (w kontekście określonego celu przetwarzania) oraz usunięcie tych danych osobowych dla których tak określony termin retencji już minął.
● ZADANIE 5: Weryfikacja podstawy prawnej przetwarzania danych osobowych
Zadanie to obejmuje ustalenie, czy w odniesieniu do wszystkich kategorii danych osobowych i celów ich przetwarzania przez administratora jest on w stanie wykazać istnienie podstawy prawnej. Przedsiębiorca może przetwarzać dane osobowe, gdy:
1) osoba, której dane dotyczą, wyraziła na to zgodę;
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
W przypadku przetwarzania danych osobowych szczególnych kategorii (np. o stanie zdrowia) administrator powinien ustalić, czy posiada odpowiednią podstawę prawną do ich przetwarzania.
● ZADANIE 6: Sprawdzenie ważności stosowanych zgód na przetwarzanie danych osobowych
W przypadku gdy podstawą prawną przetwarzania danych osobowych przez danego przedsiębiorcę jest zgoda osoby, której dane dotyczą, należy sprawdzić, czy zgoda ta została prawidłowo udzielona i czy zachowa ważność w świetle przepisów RODO.
Zgoda na przetwarzanie danych osobowych powinna być jednoznaczna, konkretna, dobrowolna i świadoma. Osoba, która wyraża zgodę, powinna być poinformowana o prawie cofnięcia zgody w dowolnym momencie.
● ZADANIE 7: Uporządkowanie kwestii przetwarzania danych osobowych dzieci
W ramach tego zadania należy ustalić, czy przedsiębiorca przetwarza dane osobowe dzieci. Jeśli tak, administrator powinien sprawdzić, czy ma podstawę prawną przetwarzania takich danych, a w przypadku pobierania zgody od dziecka w odniesieniu do usług społeczeństwa informacyjnego (usług świadczonych drogą elektroniczną) oferowanych bezpośrednio dziecku, powinien sprawdzić, czy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem (o ile dziecko ma mniej niż 16 lat).
Przedsiębiorca powinien też dostosować informacje – jakie kieruje do dzieci, powiadamiając je o przetwarzaniu danych – do ich możliwości zrozumienia takich informacji.
● ZADANIE 8: Wykonanie obowiązku informacyjnego
Zadanie to obejmuje przygotowanie i przekazanie osobom, których dane dotyczą, informacji o sposobie i zakresie przetwarzania ich danych. Administrator powinien zaplanować przekazanie następujących informacji:
1) tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe przedstawiciela administratora;
2) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
3) cele przetwarzania danych osobowych;
4) podstawa prawna przetwarzania;
5) jeśli ma to zastosowanie – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
6) odbiorcy lub kategorie odbiorców danych – jeżeli istnieją;
7) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
8) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
9) informacje o prawie do żądania dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
10) jeśli ma to zastosowanie – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
11) informacje o prawie wniesienia skargi do organu nadzorczego;
12) informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy, oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
13) informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach podejmowania takich zautomatyzowanych decyzji (o ile wywołują one skutki prawne wobec danej osoby), a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Informacje te należy podać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka.
● ZADANIE 9: Umożliwienie wykonywania uprawnień osobom, których dane są przetwarzane
RODO przyznaje szereg uprawnień osobom, których dane są przetwarzane. Zadaniem, na które powinni się przygotować przedsiębiorcy, jest umożliwienie tym osobom wykonywania tych uprawnień. Chodzi m.in. o:
● prawo dostępu do danych osobowych,
● prawo żądania usunięcia danych,
● prawo żądania ograniczenia przetwarzania danych osobowych,
● prawo żądania sprostowania nieprawidłowych danych osobowych,
● prawo sprzeciwu wobec przetwarzania danych osobowych,
● prawo do przenoszenia danych.
Dla przedsiębiorców te uprawnienia właścicieli danych oznaczają liczne wyzwania. Dotyczą one przede wszystkim wprowadzenia możliwości wyszukania poszczególnych danych osobowych w różnych systemach informatycznych oraz skoordynowania działań różnych działów w firmie, które mogą mieć je w systemach, jakimi administrują, a także zapewnienia wykonania określonych działań na danych osobowych z uwzględnieniem rozproszonych baz danych.
● ZADANIE 10: Odpowiednie powierzenie przetwarzania danych osobowych
Zgodnie z przepisami RODO, jeżeli administrator zleca przetwarzanie danych osobowych innemu przedsiębiorcy, powinien korzystać wyłącznie z usług takich podmiotów, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie to spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Prawodawca unijny wymaga od administratorów i podmiotów przetwarzających zawarcia umowy powierzenia przetwarzania danych o treści określonej w przepisach RODO.
Zadaniem administratora jest zatem:
1) ustalenie listy podmiotów, które na zlecenie administratora przetwarzają dane osobowe;
2) sprawdzenie tych podmiotów pod kątem zapewniania przez nie odpowiednich środków ochrony danych osobowych;
3) zawarcie (lub zmiana) umów o powierzeniu przetwarzania danych.
● ZADANIE 11: Zapewnienie podstawy prawnej transferu danych do państw trzecich
Administrator przekazujący dane osobowe do państw trzecich (poza Europejski Obszar Gospodarczy) powinien zapewnić podstawę prawną do dokonywania takiego transferu. Zadaniem przedsiębiorcy przetwarzającego dane osobowe jest zatem ustalenie, do jakich państw przekazuje dane (także w wyniku działań podmiotów przetwarzających) oraz czy ma do tego odpowiednią podstawę prawną.
● ZADANIE 12: Sporządzenie oceny skutków przetwarzania dla ochrony danych
Zgodnie z RODO w celu zapewnienia danym osobowym bezpieczeństwa administrator powinien oszacować ryzyko związane z przetwarzaniem ich przez niego oraz wdrożyć środki, które ograniczą to ryzyko. W tym celu zobowiązany jest do przeprowadzania oceny skutków przetwarzania dla ochrony danych.
Ocena skutków jest procesem mającym wspomóc identyfikację i określenie prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych w danym przedsięwzięciu, które jest związane z przetwarzaniem danych osobowych. Przeprowadzenie takiej analizy ułatwia administratorowi ocenę, jak przetwarzanie przez niego danych osobowych w danych procesach wpłynie na prywatność osób fizycznych – i to jeszcze zanim się to w praktyce wydarzy.
Zadanie to obejmuje:
1) ustalenie, jakie procesy przetwarzania danych osobowych wymagają u danego przedsiębiorcy przeprowadzenia takiej oceny;
2) przygotowanie procedury przeprowadzania takiej oceny (w tym opracowanie raportu z wykonania takiej analizy);
3) przeprowadzenie i udokumentowanie wykonania oceny;
4) wdrożenie zmian organizacyjnych w przedsiębiorstwie, mających na celu zapewnienie, że oceny skutków przetwarzania danych osobowych będą dokonywane w określonych okolicznościach oraz aktualizowane w razie potrzeby.
● ZADANIE 13: Zaprojektowanie ochrony danych osobowych
Z RODO wynika obowiązek uwzględniania ochrony danych osobowych już w fazie projektowania nowych rozwiązań technicznych lub działań (np. marketingowych), z którymi związane jest przetwarzanie danych osobowych. Zatem przy rozpoczęciu nowego, wymagającego przetwarzania danych osobowych projektu niezbędna będzie faza projektowania ich ochrony. Zadanie to obejmuje: wprowadzenie zasad projektowania ochrony danych osobowych u danego przedsiębiorcy i ustalenie sposobu udokumentowania przeprowadzenia takiego działania.
● ZADANIE 14: Wdrożenie domyślnej ochrony danych osobowych
Kolejnym obowiązkiem wynikającym z RODO jest stosowanie zasady domyślnej ochrony danych. Zasada ta jest rozumiana jako konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Obowiązek ten odnosi się do: ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te powinny zapewnić, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Zadania, jakie w związku z tym będzie musiał zrealizować przedsiębiorca, to: wprowadzenie u siebie zasady domyślnej ochrony danych i ustalenie sposobu udokumentowania przeprowadzenia takiego działania.
● ZADANIE 15: Reakcja na naruszenia ochrony danych osobowych
Przedsiębiorcy zobowiązani są przygotować się do odpowiedniego reagowania w sytuacji wystąpienia naruszenia ochrony danych osobowych. W przypadku wystąpienia takiego naruszenia przedsiębiorca będzie miał obowiązek m.in.:
1) ocenić, czy dane zdarzenie stanowi naruszenie ochrony danych osobowych;
2) zgłosić naruszenie do organu nadzorczego;
3) zawiadomić osoby, których dane naruszono, o takim naruszeniu (jeśli ma to zastosowanie);
4) udokumentować zaistniałe naruszenia i sposoby reakcji na nie.
W ramach przygotowania do realizacji tego zadania przedsiębiorcy powinni: ustalić zasady postępowania na wypadek zaistnienia incydentu ochrony danych osobowych (np. w procedurze reagowania na naruszenia ochrony danych), przygotować wzory zgłoszeń i zawiadomień o naruszeniu oraz utworzyć rejestr indycentów ochrony danych.
● ZADANIE 16: Wyznaczenie inspektora ochrony danych
Część przedsiębiorców przetwarzających dane osobowe będzie zobowiązana do wyznaczenia inspektora ochrony danych. Będzie to niezbędne, gdy:
1) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
2) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Przedsiębiorcy powinni: ustalić zakres zadań inspektora, a także zapewnić mu niezależność umożliwiającą wykonywanie obowiązków, wyznaczyć taką osobę i zgłosić wyznaczenie do organu nadzorczego.
● ZADANIE 17: Zabezpieczenie danych osobowych
Przedsiębiorca przetwarzający dane osobowe powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku ich przetwarzania, w tym:
1) pseudonimizację i szyfrowanie danych osobowych;
2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Zadanie to obejmuje sprawdzenie, czy przedsiębiorca prawidłowo zidentyfikował ryzyka związane z przetwarzaniem danych osobowych i wdrożył wybrane przez siebie środki ich ochrony.
● ZADANIE 18: Podnoszenie świadomości konieczności ochrony danych osobowych
Proces wdrożenia wymagań RODO wymaga podnoszenia świadomości pracowników tak, aby znali i rozumieli zasady ochrony danych osobowych ustalone przez danego przedsiębiorcę. Niezbędne jest zatem szkolenie pracowników (także współpracowników) w tym zakresie i wymaganie od nich stosowania się do nowych zasad. Zadanie to obejmuje zaplanowanie szkoleń z zakresu ochrony danych osobowych oraz ich przeprowadzenie (i udokumentowanie).
W cyklu ukazały się teksty:
● „Jak przygotować się do lepszego chronienia przetwarzanych danych osobowych – niezbędnik przedsiębiorcy” – Firma i Prawo z 16 stycznia 2018 r. (DGP nr 11),
● „Wdrożenie czas zacząć. Jak podjąć przygotowania do stosowania RODO ” – Firma i Prawo z 30 stycznia 2018 r. (DGP nr 21),
● „Rejestrować czynności przetwarzania danych osobowych trzeba. Tylko jakie?” – Firma i Prawo z 6 lutego 2018 r. (DGP nr 26),
● „Jak zareagować na naruszenie ochrony danych osobowych” – Firma i Prawo z 13 lutego 2018 r. (DGP nr 31),
● „Ocena skutków przetwarzania dla ochrony danych to wyzwanie dla firm” – Firma i Prawo z 27 lutego 2018 r. (DGP nr 41),
● „RODO to nie tylko dokumenty, ale i wyzwania organizacyjne” – Firma i Prawo z 13 marca 2018 r. (DGP nr 51),
● „Trzeba na nowo sprawdzić podmioty przetwarzające dane na zlecenie” – Firma i Prawo z 27 marca 2018 r. (DGP nr 61),
● „Jak po 25 maja przetwarzać dane osobowe pracowników” – Firma i Prawo z 10 kwietnia 2018 r. (DGP nr 70),
● „Po wejściu RODO niezbędne będą zmiany w działaniach marketingowych z wykorzystaniem danych osobowych” – Firma i Prawo z 24 kwietnia 2018 r. (DGP nr 80).