Jak się przygotować do RODO

Prawo -

W Unii Europejskiej (czyli też w Polsce) zostało wprowadzone nowe rozporządzenie dotyczące ochrony danych osobowych tzw. RODO (GDPR). Nakłada ono liczne obowiązki na wszystkie podmioty przetwarzające dane osobowe poczynając od jednoosobowej działalności gospodarczej, a kończąc na ogólnoświatowych korporacjach. Zadania w zakresie ochrony przetwarzanych danych osobowych są TAKIE SAME dla wszystkich. Zatem istnieje potrzeba przybliżenia tematu wszystkim. Zwłaszcza tym, którzy nie mają sztabu wykwalifikowanego personelu specjalizującego się w ochronie danych osobowych i zagadnieniach bezpieczeństwa teleinformatycznego. Rozporządzenie już weszło w życie (25.05.2016 r.) i jego przepisy będą egzekwowane od 25.05.2018 r. W mediach, wraz z terminem RODO, pojawiają się informacje o gigantycznych karach, jakie mogą być nakładane za niewłaściwe przetwarzanie danych osobowych. Zatem co zrobić, żeby nie popaść w konflikt z nowymi przepisami?

Przygotowanie do zmienionych przepisów o ochronie danych osobowych może przebiegać w zaproponowany poniżej sposób. Trzeba jednak mieć świadomość, że nie jest to jedyna metoda i należy traktować ją, jako propozycję, którą należy dostosować do własnej działalności. W poniższym tekście świadomie nie chcę wdawać się w niuanse prawne, gdyż wg. mnie nie prowadzi to do podjęcia realnych działań. Starałam się przełożyć zapisy rozporządzenia na codzienną praktykę – czyli co fizycznie zrobić, aby być zgodnym z RODO.

Propozycja jest następująca:

1. Przeczytać rozporządzenie.

Rozporządzenie można znaleźć na stronie GIODO:

http://giodo.gov.pl/1520284/id_art/9745/j/pl/

lub Parlamentu Europejskiego:

http://eur-lex.europa.eu/legal-content/PL/TXT/?qid=1490961296630&uri=CELEX:32016R0679

Zawiera ono preambułę, która przybliża zagadnienie ochrony danych osobowych i omawia pewne przykłady. Uważam, że preambułę należy raz przeczytać. Jednak istotą rozporządzenia jest sama jego treść zaczynająca się od strony 32 (Dziennik Urzędowy Unii Europejskiej) i na niej będę się skupiać w kolejnych odcinkach. Aby przyswoić sobie zagadnienie, należy „postudiować” zapisy rozporządzenia, (wielokrotne czytanie ze zrozumieniem).

2. Powołać Zespół odpowiedzialny za przygotowanie podmiotu do wdrożenia RODO.

Trzeba sobie jasno powiedzieć: za to, żeby przepisy RODO zostały prawidłowo wdrożone odpowiada „szef” danego podmiotu. Będzie to: osoba fizyczna lub prawna, organ publiczny, jednostka, która w RODO określana jest administratorem danych. Zatem w zależności od tego, jaka to jest działalność będzie to osoba prowadząca działalność gospodarczą, prezes lub zarząd fundacji/stowarzyszenia/spółki lub kierujący danym podmiotem publicznym. Nie w każdym wypadku kierujący podmiotem musi osobiście prowadzić całość przygotowań. Jednak prezes/zarząd musi podjąć decyzję kogo wyznacza, aby kierował Zespołem Wdrożeniowym. Wraz z powołaniem Zespołu trzeba określić jego kompetencje i możliwości samodzielnego podejmowania decyzji oraz tryb raportowania do „szefa”. Zespół musi zadbać o określenie metody pracy (zebrania, zebrania wirtualne, materiały w trybie obiegowym, częstotliwość rozmów, inne). Powinien wypracować harmonogram przygotowania do wdrożenia RODO i przedstawić go „szefowi”.

3. Podejmowanie decyzji

Podejmowanie decyzji jest konieczne, aby sprawnie przechodzić przez kolejne etapy przygotowania do RODO. Jeżeli w skład Zespołu odpowiedzialnego za przygotowania nie wchodzą osoby mogące rozstrzygać o sprawach organizacyjnych czy finansowych, musi być jasno określone kto, w jakim zakresie i w jakim czasie podejmuje decyzje. Część z nich może dotykać zmian w strukturze organizacyjnej, wymagać zmiany pewnych dokumentów (np. umów z klientami) lub wiązać się z koniecznością zlecenia prac w systemach informatycznych. Jeżeli prezes lub zarząd fundacji/stowarzyszenia/spółki lub kierujący danym podmiotem publicznym nie określa sposobów podejmowania decyzji odnośnie spraw kierowanych przez Zespół, naraża się na to, że organizacja nie zdąży się odpowiednio przygotować. Brak szybkich ustaleń osłabia „wolę walki” i zniechęca pracowników. Zespół, który przestanie kreatywnie i z zapałem podchodzić do tematu przygotowania swojej organizacji do wymagań RODO, sam w sobie będzie stanowił przeszkodę, aby osiągnąć cel. Nie możemy się bać „złych decyzji”, bo takie zawsze możemy poprawić. Brak rozstrzygnięć jest główną przeszkodą hamującą sprawne przygotowania!

4. Inwentaryzacja danych osobowych

Inwentaryzacja danych osobowych musi objąć absolutnie wszystkie miejsca, gdzie one się znajdują. Dotyczy to kartotek papierowych i systemów informatycznych. Także arkusze Excel, spisy „podręczne” w aplikacjach biurowych i inne formy zbiorów, gdzie możemy odnaleźć dane osobowe, powinny zostać zinwentaryzowane. W każdej instytucji jest to zagadnienie trudne. Pracownik może wykonać „zrzut” bazy z danymi do Excel-a i posługiwać się nimi w swojej pracy, a takie sytuacje też musimy zidentyfikować. Wykonując inwentaryzację należy:

  • spisać wszystkie rodzaje danych osobowych, jakie mamy (w tym określić, kategorię tych danych np. Klienci, czy są to dane wrażliwe, czy przetwarzamy dane osób małoletnich);
  • wskazać obecny cel ich przetwarzania;
  • określić skąd pochodzą (w tym, czy przetwarzamy dane dla kogoś);
  • określić dotychczasową podstawę prawną do ich przetwarzania;
  • określić komu je przekazaliśmy (w tym wskazać podstawę prawną przekazywania);
  • określić, czy ktoś dane dla nas przetwarza;
  • określić w jakich kartotekach się znajdują;
  • określić w jakich zasobach informatycznych się znajdują (zwrócić uwagę na położenie zasobu - kraj/Unia/poza Unią);
  • określić, czy są zabezpieczone (szyfrowanie, dostępność);
  • określić, jak długo powinny być przetwarzane.

Zebrane dane pomogą nam stworzyć wymagany przez RODO „rejestr czynności przetwarzania” oraz zweryfikować legalność przetwarzanych danych. Podmioty, które do tej pory posiadały spis przetwarzanych zbiorów danych osobowych, wymagany przez obecne przepisy, mogą z niego skorzystać i odpowiednio go uzupełnić. Proszę zwrócić uwagę, że RODO nie wymaga rejestracji zbioru danych osobowych. Instytucja przetwarzająca takie informacje ma sama prowadzić „rejestr czynności przetwarzania”, gdzie wskazuje się kategorię przetwarzanych danych. W szczególności „kategoria danych” może pokrywać się ze „zbiorem danych osobowych”. Jeżeli dokumentacja wynikająca z obecnej Ustawy o ochronie danych osobowych była prowadzona rzetelnie, będziemy mieli ułatwione zadanie przy tworzeniu wymaganego rejestr czynności przetwarzania.

Ciąg dalszy nastąpi...

Małgorzata Mazurkiewicz, CISA