Rok 2018 to wyzwanie dla każdego przedsiębiorstwa i instytucji, które przetwarzają dane osobowe. Już od 25 maja 2018 r. zaczęło bowiem obowiązywać nowe, unijne rozporządzenie o ochronie danych osobowych. Jego wymogów muszą przestrzegać zarówno przedsiębiorstwa jak i podmioty publiczne - mówi Anna Mrozowska, członek Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji, a także właściciel marki SzkolenieRODO.pl i współtwórca narzędzia NiezbędnikRODO.pl
Czym jest RODO?
RODO (na Zachodzie znane jako GDPR) to nowy akt prawa unijnego, opracowany w celu ujednolicenia zasad przetwarzania danych osobowych w Unii Europejskiej. Od 25 maja 2018 r. te same przepisy zaczęły obowiązywać we wszystkich krajach członkowskich.
Z uwagi na skalę zmian, a także dlatego, że dotyczą praktycznie każdej osoby, przedsiębiorcy czy instytucji, słusznie mówi się o jednej z największych zmian przepisów po 1989 roku.
Jakie zmiany wprowadza RODO
RODO w szczególności dąży do zmiany naszego podejścia na bardziej aktywne w zakresie przetwarzania i ochrony danych osobowych. Przepisy są dla nas jedynie ogólnym drogowskazem. Od 25 maja każdy administrator jest odpowiedzialny za wdrożenie „właściwych” procedur oraz „odpowiednich” zabezpieczeń, które będzie musiał zdefiniować samodzielnie, w oparciu o przeprowadzoną analizę ryzyka.
Podczas organizowanych szkoleń z RODO, zwracamy szczególną uwagę na:
1. Zmianę podstaw prawnych legitymujących nas do przetwarzania danych osobowych – w szczególności warunków wyrażania zgody na przetwarzanie danych.
2. Zmianę formy i zakresu informacji, które należy udzielić osobom, których dane osobowe są przetwarzane (poszerzony obowiązek informacyjny).
3. Wzmocnienie uprawnień osób, których dane przetwarzamy (np. prawo do bycia zapomnianym, prawo do przenoszenia danych).
4. Zasady przetwarzania danych osobowych, w szczególności zasadę minimalizacji danych, ograniczenia czasu przechowywania oraz zasadę rozliczalności.
5. Nowy obowiązek „privacy by default”, tj. domyślnego stosowania maksymalnej ochrony prywatności.
6. Nowy obowiązek „privacy by design”, tj. przygotowywania procesów przetwarzania danych osobowych z uwzględnieniem zapewnienia prywatności osób, których te dane dotyczą.
7. Zwiększenie ochrony praw dzieci.
8. Zmiany wymogów w zakresie powierzania danych osobowych innym podmiotom.
9. Możliwość współadministrowania danymi osobowymi, np. grupy kapitałowe i ich spółki celowe.
10. Wprowadzenie rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii czynności przetwarzania, w miejsce dotychczasowego obowiązku zgłaszania zbiorów przetwarzanych danych do rejestru GIODO.
11. Wprowadzenie nowych reguł postępowania w przypadku naruszenia ochrony danych osobowych (np. wycieków danych). Niezależnie, obowiązkowe jest prowadzenie rejestru naruszeń.
12. Funkcję Inspektora Ochrony Danych.
13. Wymóg sporządzenia oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym we wskazanych Rozporządzeniem przypadkach.
20 000 000 EUR i inne sankcje z RODO
Wiele mówi się o wysokich karach finansowych, związanych z nieprzestrzeganiem RODO, a wynoszących do 4% światowego obrotu, maksymalnie do 20 000 000 EUR. (a 100 000 zł względem podmiotów publicznych).
Należy jednak pamiętać, że organ nadzorczy dysponuje delikatniejszymi uprawnieniami. Takimi jak ostrzeżenia, upomnienia czy nakazanie określonego zachowania. To ich stosowania należy spodziewać się w pierwszej kolejności.
Niezależnie, jeżeli wskutek naruszenia przepisów RODO jakaś osoba poniosła szkodę, przysługiwać jej będzie prawo do roszczenia odszkodowawczego, niezależnie od wykonywania swoich uprawnień przez PUODO.
Siedem kroków do wdrożenia RODO
Pełne i prawidłowe wdrożenie RODO to wieloetapowy proces. Pierwszym krokiem ku określeniu kierunków i harmonogramu audytu RODO i jego wdrożenia, powinno być nabycie wiedzy i umiejętności. Pomocne w tym zakresie będą szkolenia z zakresu ochrony danych osobowych, prowadzone przez specjalistów SzkolenieRODO.pl.
Wykaz standardowych działań wdrożeniowych obejmuje:
Krok pierwszy: audyt bezpieczeństwa przetwarzania danych osobowych.
Jego efektem powinna być diagnoza konkretnych niezgodności z nowymi przepisami RODO. Dzięki prawidłowo wykonanemu audytowi, można skupić się na faktycznych brakach w systemie.
Krok drugi: analiza ryzyka.
Analiza ryzyka jest podstawą zabezpieczenia danych osobowych, w szczególności poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.
RODO nie określa konkretnych środków bezpieczeństwa, właściwych w danych przypadkach. Przyjęcie zasady podejścia opartego na ryzyku wymaga, aby to administrator lub podmiot przetwarzający określił, jakie środki bezpieczeństwa będą odpowiednie.
Kluczowym pojęciem w odniesieniu do wdrażanych środków bezpieczeństwa, jest ich „odpowiedniość”. Określając je, należy uwzględniać koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania danych oraz właśnie ryzyko naruszenia praw lub wolności osób fizycznych. Innymi słowy, należy ocenić, kiedy i jakie środki będą właściwe. Z jednej strony nie trzeba przesadzać z ich nadmiernością, a z drugiej należy zachować dbałość o prawa osób, których dane osobowe są przetwarzane. RODO pozostawia sporą dowolność wyboru metod i środków ochrony danych. Należy jednak pamiętać, iż za ich dobór w kontekście oszacowanego ryzyka odpowiada właśnie administrator danych osobowych.
W praktyce, środki organizacyjne stanowi opracowanie właściwej dokumentacji i procedur, a środki techniczne zabezpieczenia fizyczne oraz wybór odpowiednich programów i aplikacji służących do przetwarzania danych osobowych.
Wybierając je, należy szczególnie uwzględniać zasadę minimalizacji zakresu przetwarzanych danych osobowych, zasadę rozliczalności oraz środki ochrony, określone w art. 32 RODO. Takie jak pseudonimizacja, czy szyfrowanie.
Krok trzeci: opracowanie dokumentacji.
W odniesieniu do szeroko rozumianej dokumentacji przetwarzania danych osobowych należy sporządzić w szczególności:
1. Informacje udzielane osobom, których dane osobowe przetwarzamy. Warto ustandaryzować je w wewnętrznej dokumentacji, aby zyskać pewność ich prawidłowości i zgodności z przyjętym schematem.
2. Klauzule zgód na przetwarzanie danych osobowych, w tym w celach marketingowych.
3. Procedury postępowania w przypadku wystąpienia naruszeń zasad przetwarzania danych osobowych oraz incydentów z tym związanych.
4. Rejestr naruszeń ochrony danych osobowych, w którym należy odnotowywać wszystkie występujące naruszenia.
5. Rejestr czynności przetwarzania danych osobowych, sprawiający chyba największe problemy przy samodzielnym sporządzaniu.
6. Rejestr kategorii czynności przetwarzania danych osobowych w przypadku, gdy przyjmujemy dane osobowe w powierzenie.
Polecamy uwadze profesjonalny program do RODO, umożliwiający sporządzanie elektronicznych rejestrów, np. rejestru czynności przetwarzania danych osobowych:
Podczas prowadzonych szkoleń z RODO, rekomendujemy dokumentowanie stosowanych procedur związanych z przetwarzaniem danych osobowych, w celu zapewnienia ich rozliczalności. Będzie to np. procedura korzystania z poczty e-mail, czy procedura postępowania z żądaniami osób, których dane osobowe podlegają przetwarzaniu. Zakres procedur jest różny w zależności od branży i indywidualnych potrzeb organizacji.
Krok czwarty: wyznaczenie Inspektora Ochrony Danych.
RODO klarownie mówi nam, iż wyznaczenie IOD jest obowiązkowe dla urzędów lub innych podmiotów publicznych, z wyłączeniem sądów.
W pozostałych przypadkach, decyzję musimy podjąć sami, biorąc pod uwagę wymóg wyznaczenia IOD zawsze, gdy główna działalność polega na:
operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Jak widać, regulacja nie jest ostra i wymaga każdorazowej indywidualnej oceny. A co, jeśli zdiagnozujemy, iż obowiązek powołania IOD dotyczy i nas? Kto może być Inspektorem Ochrony Danych?
Wg RODO o wyborze IOD decyduje administrator, na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań.
Istnieje możliwość inkubacji funkcji IOD wewnątrz podmiotu. Z kolei w przypadku skorzystania z podmiotu zewnętrznego, warto zweryfikować jego doświadczenie praktyczne w czynnościach audytorskich, wdrożeniach i pełnieniu funkcji ABI (wcześniejszy odpowiednik IOD). Dobrze też, aby IOD rozumiał branżę, w której działamy. W innym przypadku, zbiór wypracowanych przezeń reguł może być trudny do praktycznego stosowania. Pamiętajmy, że ochrona danych osobowych nie może ograniczać się do martwego zbioru dokumentacji, leżącego w szufladzie najwyższego kierownictwa.
Krok piąty: dostosowanie obowiązujących umów powierzenia danych osobowych.
Z jednej strony mamy dobrą wiadomość. RODO znosi dotychczasowy wymóg zawierania pisemnych umów powierzeń danych osobowych. Z drugiej, wprowadza dodatkowe obostrzenia w przypadku podpowierzenia tych danych. Umowa lub inny instrument prawny powinny uwzględniać w szczególności dość obszerne wytyczne z art. 28 pkt 3 RODO. Narzędzie NiezbędnikRODO.pl umożliwia szybkie generowanie profesjonalnych umów powierzenia danych osobowych:
Krok szósty: opracowanie procedur przejrzystej komunikacji. RODO kładzie nacisk na przejrzystość komunikacji. Należy o tym pamiętać formułując obowiązki informacyjne i odpowiadając na żądania dotyczące danych osobowych.
Krok siódmy: upoważnienia do przetwarzania danych osobowych.
Dla upoważnień do przetwarzania danych osobowych warto zachować formę pisemną, choć nie jest to obowiązkowe. Przy ich udzielaniu, warto przeszkolić kadry z zasad przetwarzania danych osobowych, a także nowych procedur i dokumentacji. Polecamy uwadze organizowane przez nas szkolenia SzkolenieRODO.pl:
Wdrażając RODO, warto posłużyć się profesjonalnym narzędziem. Polecamy uwadze efekt naszych autorskich działań, NiezbędnikRODO.pl. Znacząco upraszcza on proces wdrażania RODO.
Podsumowanie:
Wdrożenie RODO to proces rozbudowany i szczegółowy. Począwszy od audytu diagnozującego problemy, przez przygotowanie dokumentacji, po dostosowanie środków ochrony danych osobowych. Następnie wymaga monitorowania, weryfikacji i ciągłej poprawy jakości.
Warto pamiętać, że właściwym podejściem do wdrożenia RODO jest ujęcie systemowe – ciągłe i powtarzalne. Oparte na stałej poprawie jakości oraz podnoszeniu kwalifikacji personelu. To na nim bowiem spoczywać będzie obowiązek praktycznego stosowania nowych zasad, w tym odpowiedniego reagowania na incydenty związane z przetwarzaniem danych osobowych.
Przy takim podejściu RODO może okazać się nie zbędą formalnością, a pozytywnym czynnikiem poprawy jakości funkcjonowania każdego podmiotu.