Prawo w biznesie
Zgodność z RODO cały czas musi być priorytetem

Zgodność z RODO cały czas musi być priorytetem

Oskar Zacharski

RODO

Opinie

Data dodania: 10.07.2023

Każdy przedsiębiorca, bez względu na wielkość i złożoność prowadzonej przez niego działalności, jest w świetle RODO administratorem danych. Co za tym idzie, ciąży na nim cały szereg obowiązków wynikających bezpośrednio – a czasem pośrednio – z treści unijnego rozporządzenia. Które procedury są wymagane, a które mieszczą się w kategorii nice to have? I przede wszystkim - od czego w ogóle zacząć wdrażanie RODO – pisze Oskar Zacharski, prawnik.

Bardzo popularnym – szczególnie w 2018 r., czyli pierwszym roku obowiązywania RODO - było pośród przedsiębiorców stwierdzenie, że w ich organizacji nie przetwarza się danych osobowych. Stanowisko to argumentowane było m.in. tym, że pewne bazy danych nie były w sposób „czynny” wykorzystywane, a jedynie przechowywane. Tym samym prowadziło to do kolejnego wniosku, jakim dość często była deklaracja, że wymogi RODO nie obowiązują danej organizacji. Powyższy tok rozumowania stanowi już na szczęście rzadkość, a świadomość przedsiębiorców – czyli administratorów danych – z każdym rokiem jest coraz większa. Nawet w małych firmach coraz częściej padają pytania o to, które konkretnie wymogi należy spełnić oraz w jaki sposób, nie zaś czy rozporządzenie ma zastosowanie dla organizacji.

Rejestr czynności przetwarzania

Jednym z podstawowych dokumentów, który musi opracować administrator danych, jest rejestr czynności przetwarzania danych osobowych. Obowiązek ten wynika bezpośrednio z art. 30 RODO i nie dotyczy przedsiębiorcy, który zatrudnia mniej niż 250 osób. Przedwczesny optymizm mniejszych organizacji gasi jednak dalsza część przepisu, z której wynika, że wyłączenie od obowiązku przygotowania rejestru nie dotyczy jednak sytuacji, gdy „przetwarzanie, którego dokonują (przedsiębiorcy), może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (…)”. W efekcie trudno będzie zatem uniknąć konieczności prowadzenia rejestru nawet dla niewielkiej liczby czynności przetwarzania danych.

Zobacz procedurę w LEX: Rejestrowanie czynności przetwarzania danych osobowych >

Samo wykonanie rejestru nie będzie stanowiło większego wyzwania dla małych firm, w których nie występuje złożona struktura organizacyjna. Elementy dokumentu wskazane są bowiem w samym art. 30 RODO, a kompleksową wiedzę na temat wszystkich procesów posiada łącznie kilka osób.

Sytuacja znacznie komplikuje się w przypadku organizacji, w których dochodzi do przetwarzania danych osobowych w różnych systemach i aplikacjach, zbierane są informacje o użytkownikach strony czy sklepu (pliki cookies), a same dane przekazywane są zewnętrznym podmiotom (w ramach powierzenia lub udostępnienia). W powyższych przypadkach warto jest skorzystać z doświadczonego specjalisty, który pomoże w zidentyfikowaniu mapy przepływu danych w organizacji oraz przygotowaniu listy procesów przetwarzania danych.

Zobacz również: W UE powstaną przepisy ułatwiające interpretację RODO >>

Czytaj w LEX: Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO >

Analiza ryzyka i ocena skutków

Nieodzownym elementem wdrożenia RODO w organizacji jest przeprowadzenie wnikliwej analizy ryzyka dla wszystkich zidentyfikowanych czynności przetwarzania. Tak analiza może mieć charakter opisowy lub być oparta na wybranej metodologii, która najlepiej będzie odpowiadała środkom i zasobom firmy. Jeżeli nie mamy pewności, który sposób mierzenia ryzyka będzie najbardziej adekwatny do potrzeb naszej firmy, warto skorzystać ze wzorów proponowanych przez europejskie organy nadzoru (np. francuski CNIL). Alternatywą jest także wypróbowanie któregoś z dostępnych na rynku programów przygotowanych przez firmy doradcze. Mogą one okazać się pomocne w szczególności dla mniejszych firm, w których poziom złożoności procesów nie jest duży. Jeżeli przeprowadzona analiza wykaże, że dany rodzaj przetwarzania danych osobowych może wiązać się wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, to zgodnie z art. 35 RODO administrator będzie musiał przeprowadzić tzw. Ocenę skutków dla ochrony danych.

Zobacz nagranie szkolenia: Ocena skutków dla ochrony danych - na przykładach >

Ochrona danych osobowych. Poradnik praktyczny [PRZEDSPRZEDAŻ] ebook

Dominik Lubasz, Adam Szkurłat

Sprawdź

Bez względu na powyższe, przeprowadzenie takiej oceny może być obowiązkowe w przypadku rodzajów operacji przetwarzania wskazanych przez organ nadzorczych i podanych do publicznej wiadomości. W Polsce na liście opublikowanej przez Urząd Ochrony Danych znajduję się m.in. monitorowanie zakupów i preferencji zakupowych czy usługi i zabawki dedykowane dzieciom (zabawki interaktywne). Kompletny wykaz rodzajów operacji wymagających oceny skutków znaleźć można w Monitorze Polskim.

Zobacz procedurę w LEX: Ocena skutków dla ochrony danych >

Administratorem danych jest…

Jednym z podstawowych obowiązków, które RODO nakłada na administratora, jest realizacja tzw. obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane. Co jednak powinno znaleźć się w takiej klauzuli, gdzie ją zamieścić i jak zorganizować ten proces bez utrudniania odbiorcom np. dokonywania zakupów czy przeglądania strony internetowej?

Informacje, które administrator musi przekazać podmiotom danych, zostały wskazane w art. 13 RODO. Ich lista nie należy do najkrótszych i poza klasyczną już formułką „Administratorem Twoich danych jest (…)” obejmuje m.in. dane kontaktowe inspektora ochrony danych, cele przetwarzania, odbiorców, okresy przechowywania danych, prawa osób, których dane dotyczą i wiele, wiele więcej. Jak w takiej sytuacji zrealizować obowiązek w przejrzystej dla odbiorcy formie bez narzucania na niego przymusu „scrollowania” wielostronicowych tekstów, które mogą skutecznie odstraszyć go od skorzystania z usług oferowanych na danej stronie? Tu z pomocą przychodzi możliwość zastosowania tzw. warstwowej klauzuli informacyjnej.

Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >

Pierwsza z warstw zawiera informacje o tożsamości administratora, celach przetwarzania i prawach podmiotów danych. Pozostałe informacje, czyli warstwa druga, będą znajdowały się w innym miejscu – pod wskazanym linkiem – w którego zainteresowany odbiorca może, ale nie musi, kliknąć.

Treść informacji skierowanej do podmiotów danych będzie się naturalnie różnić w ramach poszczególnych procesów przetwarzania danych. Inne cele, podstawy prawne i okresy przechowywania będą miały zastosowanie np. do procesu rekrutacji, a inne do monitoringu wizyjnego.

Zobacz nagranie szkolenia w LEX: Tworzenie klauzul informacyjnych na przykładach >

Dysponując treścią klauzuli informacyjnej, pojawia się pytanie na jakim etapie należy realizować omawiany obowiązek. Kluczowe jest, by podmiot danych otrzymał komplet informacji zaraz przed ich zebraniem – przy pierwszym kontakcie. Każdy proces będzie wymagał przeanalizowania i wskazania, kiedy faktycznie po raz pierwszy będzie dochodziło do przetwarzania danych i wówczas zastosowania odpowiedniej wersji klauzuli. W przypadku formularzy kontaktowych może być to skrócona klauzula wraz z linkiem do pełnej treści (np. w oddzielnej zakładce) zamieszczona pod samym formularzem. Klauzulę dla osób kontaktowych wskazanych w umowie warto zamieścić w samej treści takiej umowy.

Czytaj w LEX: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >

Projekt: Retencja Danych

Dużym projektem w ramach organizacji jest określenie okresów przechowywania danych wykorzystywanych w procesach i przetwarzanych w różnych systemach i formach, często z użyciem zewnętrznych aplikacji.

Ustalenie szczegółowych okresów retencji dla danych osobowych w ramach organizacji ma znaczenie kluczowe nie tylko przy tworzeniu dokumentacji (np. wspomnianych wyżej klauzul informacyjnych czy rejestru czynności przetwarzania), ale także, gdy dochodzi do realizacji praw podmiotów danych. Prawidłowe zarządzanie terminami usuwania danych w organizacji jest kluczowe w celu realizacji obowiązku wynikającego z art. 5 ust. 1 lit. e) RODO, który obliguje administratora do przechowywania danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Pomocne może okazać się przygotowanie oraz wdrożenie procedury retencji, w której określone zostaną terminy usuwania danych w ramach poszczególnych procesów, ale także przyjęte zostaną określone kroki realizacji takiego usuwania, w tym wskazanie czy organizacja powierza wykonanie takiego działania zewnętrznej firmie zajmującej się niszczeniem dokumentów.

Zobacz w LEX: Tabela retencji danych - zestawienie >

Procedura retencji oraz inne środki organizacyjne w postaci ewidencji i protokołów zniszczeń pomogą także w realizacji obowiązku wykazania „rozliczalności”, który ujęty został w art. 5 ust. 2 RODO.

Zobacz nagranie szkolenia w LEX: Retencja danych i zasady określania czasu ustania przydatności danych >

Inspektor Ochrony Danych

Organy i podmioty publiczne oraz administratorzy, którzy spełniają przesłanki wskazane w art. 37 ust. 1 RODO, muszą w swojej organizacji wyznaczyć Inspektora Ochrony Danych. Jego rola opiera się m.in. na doradzaniu w zakresie realizacji obowiązków wynikających z przepisów prawa o ochronie danych, zwiększania świadomości personelu np. poprzez szkolenia, czy monitorowaniu zgodności organizacji z przepisami. Stanowi on także punkt kontaktowy nie tylko z osobami fizycznymi np. klientami, ale także Urzędem Ochrony Danych Osobowych.

Dodatkowo inspektor może – na bazie swojego doświadczenia – zasugerować administratorowi wybór środków technicznych i organizacyjnych adekwatnych do realiów organizacji, występujących w niej zagrożeń, czy stawianych przez nią celów biznesowych.

Biorąc pod uwagę zakres zadań i korzyści płynących z wyznaczenia w firmie IOD administratorzy, nawet jeśli nie są objęci takim obowiązkiem, powinni rozważyć powołanie inspektora. Z całą pewnością wpłynie to pozytywnie na kształtowanie strategii ochrony danych osobowych w organizacji.

Zobacz procedurę w LEX: Wyznaczenie inspektora ochrony danych >

Podsumowanie

Zakres obowiązków, które „straszą” administratora w kolejnych rozdziałach unijnego rozporządzenia może na początku być przytłaczający i prowadzić do konkluzji, że wdrożenie przepisów wymaga ogromnej ilości czasu i pieniędzy, a i te nie dadzą gwarancji, że organizacja będzie spełniała wszystkie wymogi. Wskazane w artykule 5 kroków do zgodności z RODO stanowi jedynie dobry punkt wyjścia, nie zaś receptę na kompleksowe wdrożenie unijnego rozporządzenia. Stworzenie takiego kompendium mogłoby okazać się niemożliwe, biorąc pod uwagę ilość i zróżnicowanie środków dobieranych przez administratorów w celu realizacji obowiązków (procedury realizacji praw osób, obowiązków informacyjnych czy nadawania dostępów do systemów to jedynie wierzchołek góry lodowej). Warto w tym miejscu zauważyć, że RODO wprowadziło zasadę podejścia opartego na ryzyku. Oznacza to, że dobór środków technicznych oraz organizacyjnych (w tym wszelkich polityk czy procedur) musi być dostosowany do zidentyfikowanych w organizacji zagrożeń. W telegraficznym skrócie – im większa, bardziej złożona strukturalnie i przetwarzająca dane na większą skalę firma, tym wyższe standardy zabezpieczeń będą wymagane, by wywiązać się z m.in. z zasady rozliczalności oraz należytego uwzględnienia ryzyka związanego z operacjami przetwarzania.

Oskar Zacharski, prawnik, inspektor ochrony danych, audytor ISO 27001, autor publikacji branżowych

Czytaj też w LEX: Procesor jako podmiot weryfikowany – czyli o co może pytać i co może sprawdzać administrator danych? >

Jeśli spodobał Ci się ten artykuł i chciałbyś do niego wrócić, dodaj go do ulubionych artykułów w Moje Prawo.pl
Zarejestruj się bezpłatnie i korzystaj z nowych możliwości >>

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

RODO

Opinie

Data dodania: 2023-07-10

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome

Czytaj także

TSUE wypowiedział się na temat odszkodowań związanych z naruszeniem RODO

RODO

Nie ma żadnego progu powagi szkody niematerialnej, od której należy się zadośćuczynienie. Natomiast, co do zasady, jest ono należne w każdej sytuacji, w której doszło do naruszenia i doprowadziło do powstania szkody, w tym wzburzenia, po stronie osoby, której dane dotyczą. TSUE odrzuca zatem stanowisko, zgodnie z którym szkoda minimalna nie podlega naprawieniu - pisze Krzysztof Kaźmierczak, Data Protection Specialist RK RODO.

Krzysztof Kaźmierczak

20.06.2023

Burmistrz ukarany za zaniedbania w ochronie danych osobowych

Administracja publiczna RODO

Burmistrz miasta i gminy został ukarany administracyjną karą pieniężną w kwocie 10 tys. zł za to, że jako administrator nie stosował odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych, do jakiego doszło na skutek nieuprawnionego kopiowania plików z danymi osobowymi. Mógłby temu zapobiec, przeprowadzając analizę ryzyka.

Krzysztof Sobczak

15.06.2023

UODO: Nie ma zagrożeń dla danych osobowych przy opłatach za autostrady

RODO Transport

Obywatele mają wątpliwości co do przetwarzania swych danych w aplikacji umożliwiającej elektroniczną opłatę za przejazd po płatnych drogach - alarmował Rzecznik Praw Obywatelskich. - W zakresie objętym kontrolą nie stwierdzono naruszenia przepisów o ochronie danych osobowych - odpowiedział Rzecznikowi Prezes Urzędu Ochrony danych Osobowych.

Krzysztof Sobczak

03.04.2023