Obowiązek ochrony danych osobowych, czyli tzw. RODO, obowiązuje już od kilku lat. Dlatego większość firm działających na rynku wdrożyła odpowiednie programy, dzięki którym spełnia wymogi europejskiego rozporządzenia i polskich przepisów. Wciąż jednak powstają nowe firmy i organizacje, dla których wdrożenie RODO jest koniecznym, ale trudnym wyzwaniem. Jak powinien przebiegać ten proces krok po kroku?
Kto wdraża przepisy RODO w firmie?
Przepisy RODO obowiązują w każdej firmie, w której przetwarzanie danych osobowych jest niezbędne do prowadzenia działalności. Nie ma znaczenia, czy jest to placówka medyczna gromadząca dane pacjentów, zakład produkcyjny z kartoteką kadrową czy też sklep internetowy mający bazę klientów. W każdej takiej firmie czy placówce wdrożenie przepisów RODO jest obowiązkiem.
Nie ma żadnych zaleceń dotyczących tego, czy proces wdrażania RODO ma się odbywać we własnym zakresie, czy też z udziałem specjalistów. Warto jednak wziąć pod uwagę, że jest to działanie złożone, które angażuje wszystkie działy firmy odpowiedzialne za przetwarzanie, w tym dział informatyczny, kadrowo-księgowy, marketingu, obsługi klienta, HR, windykacji czy sprzedaży.
Do wdrożenia przepisów oraz kontroli ich przestrzegania są też niezbędne wiedza i odpowiednie narzędzia np. w postaci oprogramowania. Dlatego, zwłaszcza w początkującej firmie, dobrym wyborem będzie skorzystanie z pomocy firmy zewnętrznej.
Inspektor Ochrony Danych
Rozporządzenie o ochronie danych osobowych mówi, że Inspektor Ochrony Danych (IOD) jest osobą fizyczną, która musi spełnić jedynie dwa warunki. Jednym z nich jest zdolność do wykonywania czynności prawnych. Druga to dysponowanie odpowiednią wiedzą.
Co ważniejsze ani unijne rozporządzenie, ani polskie przepisy nie wskazują, w jaki sposób musi ona być zdobyta. Można stąd wnioskować, że IOD może być samoukiem bez obowiązku kończenia kursów i poszerzania kwalifikacji.
W rzeczywistości zakres wiedzy, określanej jako użyteczna, jest bardzo szeroki z uwagi na to, że każde wdrożenie RODO w firmie odbywa się na innych zasadach. Nie ma tu żadnych schematów, a inspektor musi nie tylko znać przepisy i wymagania, ale też umieć dostosować je do branży, profilu i struktury firmy. Wiedzę tę IOD wykorzystuje do wypełniania swoich zadań, do których zaliczają się:
- informowanie administratora danych o jego obowiązkach wynikających z RODO,
- monitorowanie przestrzegania rozporządzenia i innych przepisów, których przedmiotem jest ochrona danych osobowych,
- udzielanie zaleceń co do oceny skutków dla ochrony danych, jeśli wnioskuje o nie administrator danych, organ nadzorczy lub inna osoba czy komórka,
- współpraca z Prezesem UODO,
- pełnienie funkcji punktu kontaktowego dla prezesa UODO,
- pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą.
Dobry IOD to osoba, która nie tylko ma wiedzę i umiejętności z dziedzin takich jak prawo, psychologia, IT czy audyt, ale także zdolności organizacyjne i umiejętność prowadzenia szkoleń w przystępnej formie.
Wyszkolony zespół pracowników
Jeśli wdrażanie RODO odbywa się we własnym zakresie lub tylko z niewielką pomocą firmy zewnętrznej, pierwszym krokiem, jaki musi podjąć podmiot przetwarzający dane osobowe, jest powołanie zespołu zadaniowego. Jego członkami powinni być przedstawiciele wszystkich działów przetwarzających dane, a także prawnik i Inspektor Ochrony Danych.
Ten ostatni może być pracownikiem firmy. Może też być specjalistą z firmy zewnętrznej, który ma szerokie uprawnienia, dysponuje wiedzą, doświadczeniem, a często też gotowymi rozwiązaniami z zakresu wdrażania RODO.
Powołanie zespołu zadaniowego to pierwszy krok. Drugim jest wyszkolenie członków zespołu oraz zaopatrzenie ich w odpowiednie narzędzia. Sporo cennych informacji na ten temat zamieszcza na swojej stronie Urząd Ochrony Danych Osobowych.
Powierzenie wdrożenia przepisów RODO zewnętrznej firmie
Alternatywą dla zespołu zadaniowego jest całkowite powierzenie wdrożenia wyspecjalizowanej firmie zewnętrznej. Ważne jest jednak, aby wybrać ją rozsądnie, po wcześniejszym zapoznaniu się z możliwościami, charakterem usług, doświadczeniem, a często też opiniami innych klientów.
Dobra firma zewnętrza doskonale zna zasady przetwarzania danych osobowych, ale też potrafi je dostosować do struktury firmy i realizowanych w niej procesów. Dzięki temu każda procedura jest prostsza, a środki bezpieczeństwa dostosowane do mechanizmów pracy w firmie, a nie odwrotnie – mechanizmy nie są przekształcane na potrzeby gotowej procedury i środków bezpieczeństwa.
Jedną z możliwości skorzystania z pomocy zewnętrznej jest też udział w szkoleniach RODO dla pracowników – otwartych lub zamkniętych, przeznaczonych dla konkretnej grupy odbiorców (np. informatyków). Profesjonalna firma zewnętrzna dysponuje też doświadczeniem praktycznym, dzięki któremu może przewidywać ryzyko naruszenia praw lub wolności jeszcze zanim się pojawi i stosować odpowiednie zabezpieczenia.
Audyt RODO
Podstawę do opracowania metod ochrony danych osobowych w konkretnej firmie stanowi audyt RODO. Jego celem jest zebranie informacji oraz przeprowadzenie analizy dotyczącej między innymi sposobów i zakresu przetwarzania danych w firmie, stosowanych środków ochrony i ich przestrzegania w praktyce, a także wskazanie słabych stron, które wymagają wprowadzenia zmian. Efektem audytu jest odpowiedni raport z wymienionymi w nim niedociągnięciami oraz propozycją metod naprawczych.
Audyt RODO przebiega w kilku etapach i obejmuje elementy takie jak:
- inwentaryzacja czynności przetwarzania (zbieranie informacji),
- ocena zgodności z RODO (analiza ryzyka),
- opracowanie zaleceń i rekomendacji wdrożeniowych,
- zakres i rodzaj przetwarzanych danych,
- rejestr kategorii czynności przetwarzania,
- treść klauzul takich jak zgody na przetwarzanie danych,
- zasady dostępu pracowników do danych osobowych,
- naruszenie danych osobowych – czynniki ryzyka,
- wdrożone środki ochrony.
Sporządzenie dokumentacji RODO w firmie
Z wdrażaniem RODO wiąże się też odpowiednia dokumentacja. Przepisy nie narzucają przedsiębiorcom formy jej prowadzenia, jednak administrator danych jest zobowiązany do jej prowadzenia w formie, która sam uzna za najlepszą. Wśród dokumentów RODO, które mogą i powinny znaleźć się w posiadaniu administratora danych, są procedury:
- zarządzania incydentami danych osobowych (naruszeń ochrony danych, art. 33 ust. 5 RODO),
- udostępniania danych osobowych,
- oceny skutków dla ochrony danych osobowych (DPIA),
- realizacji praw osób, których dane dotyczą,
- powierzenia oraz oceny podmiotów przetwarzających.
Administrator danych powinien też prowadzić rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania danych osobowych (art. 30 RODO).