RODO
Zapewne każdy już słyszał o niniejszym rozporządzeniu, jeśli nie jako przedsiębiorca, to jako klient jakiejkolwiek instytucji. Rozporządzenie to zostało stworzone w celu regulacji przepływu oraz sposobów przetwarzania danych osobowych, ponieważ w ostatnich latach dane te stały się cennym towarem, nad którego obrotem w zasadzie nikt nie miał kontroli. Warto nadmienić, iż RODO nakłada nowe obowiązki tylko na przedsiębiorców, dlatego wszystkie osoby fizyczne nieprowadzące działalności gospodarczej, nie muszą przejmować się obowiązkami nakładanymi przez rozporządzenie. Tym niemniej powinny zainteresować się nowymi uprawnieniami.
Twórcy rozporządzenia zadbali, aby jego zakres był szeroki i dotyczył wszelkich danych osobowych oraz sposobów przetwarzania danych. W RODO zostały zastosowane katalogi otwarte przy definicjach „danych osobowych” i „przetwarzania”, co za tym idzie wymienione w rozporządzeniu rodzaje danych osobowych oraz sposoby przetwarzania, są tylko ich przykładami. Jest to niezwykle ważne, ponieważ powinniśmy się dwa razy zastanowić, czy czynność, którą dokonujemy, jest przetwarzaniem i czy przetwarzane dane są danymi osobowymi (a nie np. nazwą przedsiębiorstwa).
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;”~ art. 1 ust. 1 RODO
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;” ~ art. 1 ust. 2 RODO
Po wejściu w życie RODO można zauważyć, iż coraz więcej firm i instytucji wdrożyło rozporządzenie (świadczą o tym choćby liczne maile i pojawiające się informacje na stronach internetowych). Zapewne mają na to wpływ wysokie kary przewidziane dla podmiotów nie przestrzegających rozporządzenia. Maksymalny zakres kar przewidzianych przez RODO wynosi 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Urząd Ochrony Danych Osobowych zapewnia, iż wysokość kar będzie proporcjonalna dla wielkości przedsiębiorstwa oraz przewinienia, nie mniej urzędnicy mają wyjątkowe szerokie pole dla swoich działań. Firmy wdrażają RODO w obawie przed karą, ale również po to, aby konsument czuł, iż jego dane osobowe są w dobrych rękach.
Wdrożenie RODO powinno odbywać się w kilku etapach, niestety sam proces wdrożenia nie został opisany przez legislatorów. Zanim zaczniemy wdrażać w naszym przedsiębiorstwie RODO, warto przeczytać cały tekst rozporządzenia wraz z motywami znajdującymi się przed ścisłym tekstem dokumentu.
Wdrożenie RODO dzielimy na 4 etapy:
- Pierwszym z nich jest przeprowadzenie audytu, który będzie zawierał analizę ryzyka, zidentyfikowanie wszystkich działań polegających na przetwarzania danych, zidentyfikowanie osób w przedsiębiorstwie przetwarzających dane osobowe, sprawdzenie zabezpieczeń fizycznych i informatycznych oraz sprawdzenie aktualności zgód na przetwarzanie danych; na tym etapie powinniśmy również zastanowić się, czy koniecznym jest w naszym przedsiębiorstwie powoływanie Inspektora Ochrony Danych (IOD). Etap ten jest niezwykle ważny, ponieważ pominięcie jakiś elementów może skutkować karą w przypadku kontroli. W szczególności należy mieć na uwadze, czy pomieszczenia, w których dochodzi do przetwarzania danych osobowych, są odpowiednio zabezpieczone przed osobami bez upoważnienia do przetwarzania danych (zamykane pokoje, zamykane szafki na dokumenty z danymi osobowymi, alarm) oraz czy nasze systemy informatyczne zostały w odpowiedni sposób zabezpieczone (firewall, antywirus, automatyczny backup danych, hasła dostępu).
- W kolejnym etapie powinniśmy przygotować odpowiednią dokumentację. Do dokumentacji tej należą umowy powierzenia danych z podmiotami, którym dane naszych pracowników lub klientów przekazujemy, zgody oraz klauzule informacyjne dotyczące przetwarzania danych osobowych, upoważnienia do przetwarzania danych osobowych dla pracowników. W niektórych przypadkach potrzebne będzie również prowadzenie rejestru czynności przetwarzania lub rejestr kategorii czynności przetwarzania. Istotnym jest również stworzenie procedur, które warto opisać i zamknąć w jednym miejscu np. w polityce bezpieczeństwa danych osobowych.
- W trzecim etapie powinniśmy się skupić na wdrożeniu fizycznych i informatycznych zabezpieczeń, które uznaliśmy za konieczne w czasie przeprowadzania audytu. Ponadto powinniśmy przeszkolić pracowników, których upoważnimy do przetwarzania danych osobowych z bezpieczeństwa przetwarzania tych danych. Warto pamiętać, że należy śledzić rozwój ochrony danych i ciągle aktualizować procedury w swoim przedsiębiorstwie.
- Ostatnim etapem powinno być przeprowadzenie audytu końcowego, który wyeliminuje możliwość pomyłki i pominięcia jakiejś części niezbędnych czynności wdrożenia. W trakcie tego audytu powinniśmy sprawdzić, czy mamy gotową pełną dokumentację i przede wszystko czy owa dokumentacja jest zgodna z RODO. Jest to dobry moment aby sprawdzić, czy nasze zabezpieczenia są skuteczne, a pracownicy odpowiednio przeszkoleni.
Jak Państwo widzą, wdrożenie RODO nie jest czymś strasznym, ale trzeba mieć na uwadze wszelkie niuanse oraz wyjątki. Nie każdy ma ochotę i czas na zagłębianie się w rozporządzenie i wszelkie praktyki związane z ochroną przetwarzania danych osobowych, dlatego popularną usługą stało się wdrażanie RODO przez firmy zewnętrze. Usługa taka daje nam gwarancję, iż wszystko zostało zrealizowane zgodnie z literą prawa i ogólnie obowiązującymi dobrymi praktykami.
Jeśli są Państwo zainteresowani pomocą przy wdrożeniu RODO w Państwa firmie, serdecznie zapraszam do kontaktu.