Kogo dotyczy RODO? Otóż dotyczy ono przede wszystkim praktycznie każdego przedsiębiorcy prowadzącego działalność gospodarczą na terenie Polski lub innego państwa członkowskiego UE, lub oferującego usługi bądź produkty osobom fizycznym przebywającym na terenie Polski lub innego państwa unijnego. To przedsiębiorcom właśnie dedykowany jest niniejszy wpis, zakładamy bowiem (choć z docierających do nas z różnych źródeł informacji wynika, że niestety trochę na wyrost), iż przetwarzanie danych osobowych przez organy publiczne, których również dotyczy RODO, odbywa się w zgodzie z zapisami tego unijnego rozporządzenia.
Czego wymaga od nas RODO? Większość przedsiębiorców wie już z pewnością o konieczności realizacji obowiązku informacyjnego względem podmiotów danych, a także konieczności zgodnego z prawem pobierania zgód na przetwarzanie danych osobowych (osobnym problemem jest błędne, nadmiarowe pobieranie zgód w sytuacjach gdy przetwarzanie odbywa się de facto w oparciu o inną niż zgoda podstawę prawną). Z rozmów z potencjalnymi klientami, którzy dopytują nas o zasady "wdrożenia RODO" wyłania się natomiast wiele luk w wiedzy dotyczącej obowiązków wynikających z RODO. Dla większości przedsiębiorców RODO to przede wszystkim: kary, obowiązek informacyjny, obowiązek pobierania zgód oraz publikacja/aktualizacja polityki prywatności na stronie internetowej.
RODO wymaga natomiast znacznie szerszego zakresu działań, zarówno o namacalnym, jak i mniej namacalnym charakterze. Do tych drugich należy w szczególności:
zmiana filozofii myślenia o ochronie danych osobowych - uwzględnianie jej w każdym niemalże aspekcie funkcjonowania przedsiębiorstwa;
wdrożenie zasady minimalizacji przetwarzania danych - w szczególności zaprzestanie pobierania i przechowywania danych "na zapas" w sytuacji gdy konkretne dane są zbędne do realizacji celu, w którym są przetwarzane;
wdrożenie zasady privacy by design - a więc projektowanie ochrony danych osobowych - prowadzenie działalności gospodarczej w sposób uwzględniający zasady ochrony danych i konsekwentne podwyższanie poziomu ich ochrony przy okazji wdrażania nowych procesów biznesowych lub modyfikowania procesów już istniejących;
- odejście od przekonania, że "jakoś to będzie" - RODO wymusza kierowanie się zasadą rozliczalności, oznaczającą, iż na wypadek kontroli to my musimy udowodnić, że przetwarzamy dane osobowe zgodnie z prawem - jest to sytuacja całkowicie odwrotna do zasad panujących np. w prawie karnym - prawo ochrony danych osobowych kieruje się zasadą domniemania winy, a nie niewinności.
Do bardziej namacalnych działań, które zrealizować musimy w związku z wdrożeniem RODO zaliczyć należy w szczególności:
przeprowadzenie audytu funkcjonujących procesów przetwarzania danych osobowych - w szczególności zinwentaryzowanie czyje dane osobowe przetwarzamy, jakie są to dane, na jakiej podstawie i w jakim celu je przetwarzamy i jak długo zamierzamy to robić;
weryfikacja czy dokonujemy transferu danych osobowych poza Europejski Obszar Gospodarczy oraz czy mamy ku temu podstawę prawną oraz jakie ewentualne dodatkowe zabezpieczenia zobowiązani jesteśmy w związku z tym wdrożyć;
przygotowanie rejestru czynności przetwarzania danych osobowych, a w sytuacji, gdy dane osobowe przetwarzamy również jako procesor, przygotować musimy również odrębny rejestr wszystkich kategorii czynności przetwarzania dokonywanego w imieniu innych administratorów, którzy powierzyli nam dane do przetwarzania; przygotowanie tych rejestrów jest absolutnie kluczowe dla wdrożenia RODO, natomiast wielu przedsiębiorców (i niestety również wiele podmiotów komercyjnie "wdrażających RODO") całkowicie pomija ten trudny, rozbudowany i czasochłonny obowiązek;
przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych osobowych dla praw i wolności podmiotów danych - jest to obowiązek, o którym znaczna część z przedsiębiorców, z którymi rozmawialiśmy w ogóle nie słyszała, pomimo wcześniejszych rozmów z innymi podmiotami "wdrażającymi RODO"; realizacja tego obowiązku jest natomiast kluczowa w związku z zasadą rozliczalności - bez oszacowania i poznania ryzyka niemożliwym jest wykazanie, iż wdrożyliśmy odpowiednie zabezpieczenia ochrony danych osobowych (zgodnie z art. 24 i 32 RODO zabezpieczenia odpowiadać muszą poziomowi ryzyka), a także wykazanie, iż nie jesteśmy zobowiązani do przeprowadzenia tzw. szczegółowej analizy ryzyka - oceny skutków przetwarzania dla ochrony danych osobowych (art. 35 RODO);
przygotowanie planu postępowania z ryzykiem - w szczególności harmonogramu planowanych zmian w zakresie przetwarzania danych osobowych (wskazującego np. terminy wprowadzenia dodatkowych zabezpieczeń przetwarzania danych lub eliminacji stwierdzonych podatności na zagrożenia dla ochrony danych osobowych);
przygotowanie dokumentacji regulującej zasady przetwarzania danych osobowych - w szczególności odpowiedniej polityki ochrony danych osobowych, instrukcji zarządzania systemem informatycznym, rejestru naruszeń ochrony danych osobowych, klauzul informacyjnych, itd. Część dostępnych na rynku ofert ogranicza się tak naprawdę do przygotowania polityki prywatności, którą przedsiębiorca zamieszcza na stronie internetowej. Polityki prywatności nie należy jednak utożsamiać ze znacznie szerszą i bardziej kompleksową polityką ochrony danych osobowych;
przeszkolenie personelu w zakresie podstawowych zasad przetwarzania danych osobowych - szkolenie takie uwzględniać powinno wdrożone w naszym przedsiębiorstwie zasady przetwarzania danych osobowych - w szczególności treść przyjętych polityk ochrony danych osobowych oraz wdrożone zabezpieczenia danych osobowych; szkolenia abstrakcyjne, mówiące jedynie ogólnikowo o zasadach przetwarzania danych wynikających z RODO mijają się w naszej ocenie w znacznej mierze z celem - nie pozwalają w szczególności na wykazanie, iż przedsiębiorca właściwie przeszkolił swój personel w zakresie zasad przetwarzania danych osobowych;
zawarcie umów powierzenia danych zgodnych z art. 28 RODO ze wszystkimi podmiotami, którym powierzamy dane do przetwarzania oraz ze wszystkimi podmiotami, które nam powierzają dane osobowe do przetwarzania.
Jak widać z powyższego, dość ogólnikowego opracowania, zakres działań, które podjąć należy w ramach wdrożenia RODO jest bardzo szeroki - musi też być rozłożony w czasie. Właściwe, rzetelne wdrożenie RODO w średniej wielkości przedsiębiorstwie to czas 3-6 miesięcy. Nie ma się co więc łudzić, że w przypadku nagłej, niezapowiedzianej kontroli, przedsiębiorca będzie w stanie ad hoc wdrożyć RODO "na kolanie". Pamiętać należy, iż jedną ze zmian, które wprowadziło RODO oraz nowa ustawa o ochronie danych osobowych z 10 maja 2018 r. jest możliwość przeprowadzania niezapowiedzianych kontroli przez Prezesa Urzędu Ochrony Danych Osobowych.
Data publikacji: 03.08.2018.