Bardzo popularnym – szczególnie w 2018 r., czyli pierwszym roku obowiązywania RODO - było pośród przedsiębiorców stwierdzenie, że w ich organizacji nie przetwarza się danych osobowych. Stanowisko to argumentowane było m.in. tym, że pewne bazy danych nie były w sposób „czynny” wykorzystywane, a jedynie przechowywane. Tym samym prowadziło to do kolejnego wniosku, jakim dość często była deklaracja, że wymogi RODO nie obowiązują danej organizacji. Powyższy tok rozumowania stanowi już na szczęście rzadkość, a świadomość przedsiębiorców – czyli administratorów danych – z każdym rokiem jest coraz większa. Nawet w małych firmach coraz częściej padają pytania o to, które konkretnie wymogi należy spełnić oraz w jaki sposób, nie zaś czy rozporządzenie ma zastosowanie dla organizacji.
Rejestr czynności przetwarzania
Jednym z podstawowych dokumentów, który musi opracować administrator danych, jest rejestr czynności przetwarzania danych osobowych. Obowiązek ten wynika bezpośrednio z art. 30 RODO i nie dotyczy przedsiębiorcy, który zatrudnia mniej niż 250 osób. Przedwczesny optymizm mniejszych organizacji gasi jednak dalsza część przepisu, z której wynika, że wyłączenie od obowiązku przygotowania rejestru nie dotyczy jednak sytuacji, gdy „przetwarzanie, którego dokonują (przedsiębiorcy), może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (…)”. W efekcie trudno będzie zatem uniknąć konieczności prowadzenia rejestru nawet dla niewielkiej liczby czynności przetwarzania danych.
Zobacz procedurę w LEX: Rejestrowanie czynności przetwarzania danych osobowych >
Samo wykonanie rejestru nie będzie stanowiło większego wyzwania dla małych firm, w których nie występuje złożona struktura organizacyjna. Elementy dokumentu wskazane są bowiem w samym art. 30 RODO, a kompleksową wiedzę na temat wszystkich procesów posiada łącznie kilka osób.
Sytuacja znacznie komplikuje się w przypadku organizacji, w których dochodzi do przetwarzania danych osobowych w różnych systemach i aplikacjach, zbierane są informacje o użytkownikach strony czy sklepu (pliki cookies), a same dane przekazywane są zewnętrznym podmiotom (w ramach powierzenia lub udostępnienia). W powyższych przypadkach warto jest skorzystać z doświadczonego specjalisty, który pomoże w zidentyfikowaniu mapy przepływu danych w organizacji oraz przygotowaniu listy procesów przetwarzania danych.
Zobacz również: W UE powstaną przepisy ułatwiające interpretację RODO >>
Analiza ryzyka i ocena skutków
Nieodzownym elementem wdrożenia RODO w organizacji jest przeprowadzenie wnikliwej analizy ryzyka dla wszystkich zidentyfikowanych czynności przetwarzania. Tak analiza może mieć charakter opisowy lub być oparta na wybranej metodologii, która najlepiej będzie odpowiadała środkom i zasobom firmy. Jeżeli nie mamy pewności, który sposób mierzenia ryzyka będzie najbardziej adekwatny do potrzeb naszej firmy, warto skorzystać ze wzorów proponowanych przez europejskie organy nadzoru (np. francuski CNIL). Alternatywą jest także wypróbowanie któregoś z dostępnych na rynku programów przygotowanych przez firmy doradcze. Mogą one okazać się pomocne w szczególności dla mniejszych firm, w których poziom złożoności procesów nie jest duży. Jeżeli przeprowadzona analiza wykaże, że dany rodzaj przetwarzania danych osobowych może wiązać się wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, to zgodnie z art. 35 RODO administrator będzie musiał przeprowadzić tzw. Ocenę skutków dla ochrony danych.
Zobacz nagranie szkolenia: Ocena skutków dla ochrony danych - na przykładach >
Cena promocyjna: 136.79 zł
|Cena regularna: 152 zł
|Najniższa cena w ostatnich 30 dniach: zł
Bez względu na powyższe, przeprowadzenie takiej oceny może być obowiązkowe w przypadku rodzajów operacji przetwarzania wskazanych przez organ nadzorczych i podanych do publicznej wiadomości. W Polsce na liście opublikowanej przez Urząd Ochrony Danych znajduję się m.in. monitorowanie zakupów i preferencji zakupowych czy usługi i zabawki dedykowane dzieciom (zabawki interaktywne). Kompletny wykaz rodzajów operacji wymagających oceny skutków znaleźć można w Monitorze Polskim.
Zobacz procedurę w LEX: Ocena skutków dla ochrony danych >
Administratorem danych jest…
Jednym z podstawowych obowiązków, które RODO nakłada na administratora, jest realizacja tzw. obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane. Co jednak powinno znaleźć się w takiej klauzuli, gdzie ją zamieścić i jak zorganizować ten proces bez utrudniania odbiorcom np. dokonywania zakupów czy przeglądania strony internetowej?
Informacje, które administrator musi przekazać podmiotom danych, zostały wskazane w art. 13 RODO. Ich lista nie należy do najkrótszych i poza klasyczną już formułką „Administratorem Twoich danych jest (…)” obejmuje m.in. dane kontaktowe inspektora ochrony danych, cele przetwarzania, odbiorców, okresy przechowywania danych, prawa osób, których dane dotyczą i wiele, wiele więcej. Jak w takiej sytuacji zrealizować obowiązek w przejrzystej dla odbiorcy formie bez narzucania na niego przymusu „scrollowania” wielostronicowych tekstów, które mogą skutecznie odstraszyć go od skorzystania z usług oferowanych na danej stronie? Tu z pomocą przychodzi możliwość zastosowania tzw. warstwowej klauzuli informacyjnej.
Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >
Pierwsza z warstw zawiera informacje o tożsamości administratora, celach przetwarzania i prawach podmiotów danych. Pozostałe informacje, czyli warstwa druga, będą znajdowały się w innym miejscu – pod wskazanym linkiem – w którego zainteresowany odbiorca może, ale nie musi, kliknąć.
Treść informacji skierowanej do podmiotów danych będzie się naturalnie różnić w ramach poszczególnych procesów przetwarzania danych. Inne cele, podstawy prawne i okresy przechowywania będą miały zastosowanie np. do procesu rekrutacji, a inne do monitoringu wizyjnego.
Zobacz nagranie szkolenia w LEX: Tworzenie klauzul informacyjnych na przykładach >
Dysponując treścią klauzuli informacyjnej, pojawia się pytanie na jakim etapie należy realizować omawiany obowiązek. Kluczowe jest, by podmiot danych otrzymał komplet informacji zaraz przed ich zebraniem – przy pierwszym kontakcie. Każdy proces będzie wymagał przeanalizowania i wskazania, kiedy faktycznie po raz pierwszy będzie dochodziło do przetwarzania danych i wówczas zastosowania odpowiedniej wersji klauzuli. W przypadku formularzy kontaktowych może być to skrócona klauzula wraz z linkiem do pełnej treści (np. w oddzielnej zakładce) zamieszczona pod samym formularzem. Klauzulę dla osób kontaktowych wskazanych w umowie warto zamieścić w samej treści takiej umowy.
Czytaj w LEX: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >
Projekt: Retencja Danych
Dużym projektem w ramach organizacji jest określenie okresów przechowywania danych wykorzystywanych w procesach i przetwarzanych w różnych systemach i formach, często z użyciem zewnętrznych aplikacji.
Ustalenie szczegółowych okresów retencji dla danych osobowych w ramach organizacji ma znaczenie kluczowe nie tylko przy tworzeniu dokumentacji (np. wspomnianych wyżej klauzul informacyjnych czy rejestru czynności przetwarzania), ale także, gdy dochodzi do realizacji praw podmiotów danych. Prawidłowe zarządzanie terminami usuwania danych w organizacji jest kluczowe w celu realizacji obowiązku wynikającego z art. 5 ust. 1 lit. e) RODO, który obliguje administratora do przechowywania danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Pomocne może okazać się przygotowanie oraz wdrożenie procedury retencji, w której określone zostaną terminy usuwania danych w ramach poszczególnych procesów, ale także przyjęte zostaną określone kroki realizacji takiego usuwania, w tym wskazanie czy organizacja powierza wykonanie takiego działania zewnętrznej firmie zajmującej się niszczeniem dokumentów.
Zobacz w LEX: Tabela retencji danych - zestawienie >
Procedura retencji oraz inne środki organizacyjne w postaci ewidencji i protokołów zniszczeń pomogą także w realizacji obowiązku wykazania „rozliczalności”, który ujęty został w art. 5 ust. 2 RODO.
Zobacz nagranie szkolenia w LEX: Retencja danych i zasady określania czasu ustania przydatności danych >
Inspektor Ochrony Danych
Organy i podmioty publiczne oraz administratorzy, którzy spełniają przesłanki wskazane w art. 37 ust. 1 RODO, muszą w swojej organizacji wyznaczyć Inspektora Ochrony Danych. Jego rola opiera się m.in. na doradzaniu w zakresie realizacji obowiązków wynikających z przepisów prawa o ochronie danych, zwiększania świadomości personelu np. poprzez szkolenia, czy monitorowaniu zgodności organizacji z przepisami. Stanowi on także punkt kontaktowy nie tylko z osobami fizycznymi np. klientami, ale także Urzędem Ochrony Danych Osobowych.
Dodatkowo inspektor może – na bazie swojego doświadczenia – zasugerować administratorowi wybór środków technicznych i organizacyjnych adekwatnych do realiów organizacji, występujących w niej zagrożeń, czy stawianych przez nią celów biznesowych.
Biorąc pod uwagę zakres zadań i korzyści płynących z wyznaczenia w firmie IOD administratorzy, nawet jeśli nie są objęci takim obowiązkiem, powinni rozważyć powołanie inspektora. Z całą pewnością wpłynie to pozytywnie na kształtowanie strategii ochrony danych osobowych w organizacji.
Zobacz procedurę w LEX: Wyznaczenie inspektora ochrony danych >
Podsumowanie
Zakres obowiązków, które „straszą” administratora w kolejnych rozdziałach unijnego rozporządzenia może na początku być przytłaczający i prowadzić do konkluzji, że wdrożenie przepisów wymaga ogromnej ilości czasu i pieniędzy, a i te nie dadzą gwarancji, że organizacja będzie spełniała wszystkie wymogi. Wskazane w artykule 5 kroków do zgodności z RODO stanowi jedynie dobry punkt wyjścia, nie zaś receptę na kompleksowe wdrożenie unijnego rozporządzenia. Stworzenie takiego kompendium mogłoby okazać się niemożliwe, biorąc pod uwagę ilość i zróżnicowanie środków dobieranych przez administratorów w celu realizacji obowiązków (procedury realizacji praw osób, obowiązków informacyjnych czy nadawania dostępów do systemów to jedynie wierzchołek góry lodowej). Warto w tym miejscu zauważyć, że RODO wprowadziło zasadę podejścia opartego na ryzyku. Oznacza to, że dobór środków technicznych oraz organizacyjnych (w tym wszelkich polityk czy procedur) musi być dostosowany do zidentyfikowanych w organizacji zagrożeń. W telegraficznym skrócie – im większa, bardziej złożona strukturalnie i przetwarzająca dane na większą skalę firma, tym wyższe standardy zabezpieczeń będą wymagane, by wywiązać się z m.in. z zasady rozliczalności oraz należytego uwzględnienia ryzyka związanego z operacjami przetwarzania.
Oskar Zacharski, prawnik, inspektor ochrony danych, audytor ISO 27001, autor publikacji branżowych
Czytaj też w LEX: Procesor jako podmiot weryfikowany – czyli o co może pytać i co może sprawdzać administrator danych? >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.