Jak wdrożyć RODO?

Na gruncie RODO nie ma już obowiązku posiadania dokumentów, które do tej pory były obowiązkowe tj. polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Jedynym dokumentem, którego posiadanie wymaga RODO jest tzw. rejestr czynności przetwarzania danych osobowych, który powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych osobowych. W porządku, ale czym jest proces przetwarzania danych osobowych? Przez proces przetwarzania danych osobowych należy rozumieć:

wszystkie czynności podejmowane od chwili zebrania danych osobowych, aż do ich usunięcia.

W związku z powyższym, aby prawidłowo wdrożyć RODO w firmie należy:

1. ustalić procesy przetwarzania danych osobowych i opisać dla każdego z nich rejestr przetwarzania,
2. ustalić ryzyko naruszenia danych osobowych w każdym procesie,
3. ustalić poszczególne elementy procesu w którym następuje powierzenie przetwarzania danych innym podmiotom.

Etap pierwszy wdrożenia: Ustal procesy przetwarzania danych osobowych

Na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. zostaliśmy przyzwyczajeni do pojęcia zbiorów danych osobowych. Na gruncie RODO najważniejszym pojęciem z zakresu ochrony danych osobowych są procesy przetwarzania danych osobowych.

W ramach ustalonych procesów konieczne będzie określenie m.in.:

1. podstawy prawnej przetwarzania danych zgodnej z RODO,
2. zakres przetwarzanych danych osobowych,
3. treść obowiązków informacyjnych towarzyszących gromadzeniu danych.

Przykład. W każdym podmiocie zatrudniającym pracowników będziemy mieli do czynienia z procesem przetwarzania danych kadrowo-płacowych. W ramach tego procesu są podejmowane czynności związane z rekrutacją (powstaniem stosunku pracy), trwaniem stosunku pracy oraz ustaniem stosunku pracy. Podstawę prawną przetwarzania danych stanowi m.in. kodeks pracy. Zakres obejmuje podstawowe dane osobowe pracowników m.in. imię i nazwisko, adres, numer telefonu czy wykształcenie.

E-sklep. W sklepie internetowym procesem, który będzie miał istotne znaczenie jest proces związany z transakcjami sprzedaży. Podstawą prawną do przetwarzania danych tego procesu wskazuje art. 6 ust. 1 lit b) RODO – a więc realizacji przetwarzania danych osobowych w celu realizacji umowy, w tym przypadku umowy sprzedaży.

Etap drugi wdrożenia: Ustal ryzyko naruszenia danych osobowych

Dla wszystkich procesów konieczne jest ustalenie poziomu ryzyka związanego z przetwarzaniem danych osobowych i wdrożenie odpowiednich środków zabezpieczenia danych osobowych. Na gruncie dotychczasowej ustawy o ochronie danych osobowych zostały wypracowane 3 poziomy ryzyka tj. NISKI, PODWYŻSZONY i WYSOKI.

Warto również pamiętać, że administrator jest zobowiązany do ciągłego monitorowania poziomu ryzyka związanego z przetwarzaniem danych osobowych.

Przykład. Ustalenie ryzyka na procesu kadrowo-płacowego

1. Dane są przetwarzane w formie kartotek oraz za pośrednictwem systemu informatycznego – który jest utrzymywany na zewnętrznym serwerze – administrator posiada umowę powierzania danych osobowych.
2. Dostęp do danych ma 3 użytkowników upoważnionych do przetwarzania danych osobowych, którzy nie przeszli szkolenia w zakresie ochrony danych osobowych.
3. Okres archiwizacji danych wynosi 50 lat

Poziom ryzyka naruszenia danych: WYSOKI

UZASADNIENIE: W związku z tym, że dane są przetwarzane za pośrednictwem systemu komputerowego ryzyko naruszenia danych jest wyższe niż w przypadku przetwarzania danych wyłącznie w formie papierowej (tj. kartotek). Większa ilość użytkowników posiadających dostęp do przetwarzanych danych również należy uznać za cechę, które powoduje wzrost ryzyka naruszenia przetwarzania danych osobowych. Nie bez znaczenia jest również fakt braku wiedzy użytkowników związanej z ochroną danych osobowych np. co robić w przypadku otrzymania maila od nieznanego adresata, a to również ma wpływ na podwyższenie poziomy ryzyka naruszenia danych. Ponadto, zgodnie z przepisami dane są archiwizowane przez okres 50 lat co również stanowi element, które powoduje wzrost ryzyka.

Pamiętaj o umowach powierzenia przetwarzania danych osobowych !

Prowadzenie działalności bardzo często wiąże się z powierzeniem przetwarzania danych osobowych innemu przedsiębiorcy np. usługi księgowe, hosting czy usługi prawne. Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych umowę powierzenia z której wynikają zasady powierzenia danych.

O czy należy pamiętać! RODO zobowiązuje przedsiębiorcę do wybrania wyłącznie takiego podmiotu do przetwarzania danych osobowych, który gwarantuje odpowiednią ochroną danych osobowych tj. również posiada wdrożone procedury ochrony danych osobowych zgodnie z RODO.