Jak wdrożyć RODO?

Czas płynie nieubłaganie i do wdrożenia przez przedsiębiorców postanowień RODO czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE nr 2016/679) z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych zostało już kilka miesięcy. Rozporządzenie ma wejść bowiem w życie 25 maja 2018 roku. Tymczasem ponad połowa przedsiębiorców nie słyszała o przepisach mających na celu regulacje dotyczące danych osobowych. Co więcej, wielu z tych przedsiębiorców działających w sieci (w tym sklepy internetowe!) twierdzą, iż przepisy ich nie dotyczą. Czy aby na pewno?

Kogo dotyczy RODO?

W błędnym przekonaniu pozostają mikroprzedsiębiorcy oraz mali i średni przedsiębiorcy, a także podmioty świadczące usługi na rzecz kontrahentów z zagranicy, w tym w szczególności spoza Unii Europejskiej, że nowe przepisy ich nie dotyczą. Wielkość przedsiębiorcy zgodnie z nowymi przepisami nie ma znaczenia, stąd przepisom ustawy podlegają również osoby prowadzące jednoosobowe działalności, jeśli tylko przetwarzają dane osobowe. Dotyczy to jednak przetwarzania danych osobowych w ramach działalności handlowej lub zawodowej, nie dotyczy zaś przetwarzania w celach osobistych czy domowych (jak np. zbieranie nazwisk i adresów swoich znajomych). Chyba że działalność jednoosobowego przedsiębiorcy polega właśnie na udostępnianiu środków dla przetwarzania takich danych osobowych (np. udostępnienie oprogramowania lub serwisu pozwalającego zbierać i przetwarzać dane osobowe)

Rozporządzenie definiuje pojęcie administratora danych osobowych czyli osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych podmiot przetwarzający oraz podmiot przetwarzający, który oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Pytanie co oznacza przetwarzanie danych osobowych?

Rozporządzenie definiuje przetwarzanie jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Definicja jest bardzo szeroka i dotyczy bardzo wielu działań (operacji), w tym obejmuje przetwarzanie za pomocą systemu teleinformatycznego jak i poza nim.

Innymi słowy przedsiębiorcy bez względu na formę prawną, jeśli tylko wykonują którąś z powyższych czynności powinni stosować przepisy RODO, przy czym nie ma znaczenia, że przedsiębiorcy Ci mają siedzibę poza terytorium Unii Europejskiej. Ważne by przetwarzanie danych osobowych odnosiło skutek na terenie Unii Europejskiej. Przykładowo jeśli przedsiębiorcy oferują towary lub usługi osobom przebywającym w Unii, nawet jeśli nie wymagają zapłaty za takie usługi (np. osoby korzystają z przeglądarki lub czytają artykuły) czy monitorują zachowania użytkowników w celu profilowania, o ile zachowania takie mają miejsce na terenie Unii to również podlegają pod przepisy RODO. Nawet jeśli przedsiębiorca będący administratorem lub podmiotem przetwarzającym posiada jednostkę organizacyjną w Unii (tzn. ma siedzibę lub posiada oddział, spółkę córkę w Unii), to jest on zobowiązany do przestrzegania przepisów rozporządzenia, nawet jeżeli osoby, których dane zostały zgromadzone w zbiorze lub samo przetwarzanie ma miejsce poza Unią.

Jeśli już ustalimy, że prowadzona działalność podlegać będzie przepisom RODO podjąć należy kolejne kroki w celu zapewnienia zgodności przetwarzania danych osobowych z rozporządzeniem.

Jak dostosować działalność do postanowień RODO?

Ponieważ RODO zmienia całkowicie podejście do ochrony danych osobowych, w związku z tym  należy po pierwsze przeanalizować jak zbierane, przechowywane, przetwarzane i wykorzystywane są w firmie dane osobowe. W tym celu należy m.in. zweryfikować regulaminy prywatności, zawarte umowy powierzenia przetwarzania danych osobowych partnerom, oraz procedurę udzielania zgód na takie przetwarzanie. Wziąć należy także pod uwagę miejsce, czas i sposób przechowywania oraz przetwarzania danych osobowych.

W następnej kolejności przedsiębiorcy powinni dokonać:

  • weryfikacji przesłanek i podstaw przetwarzania danych osobowych;
  • weryfikacji konieczności i zasadności powołania Inspektora Ochrony Danych Osobowych;
  • analizy i weryfikacji dokumentacji kadrowej i zasad procesu rekrutacji;
  • ustalenia kategorii i zbiorów przetwarzania danych osobowych;
  • przeprowadzenia szkoleń dla pracowników w zakresie nowych zasad przetwarzania danych na gruncie RODO;
  • weryfikacji stron internetowych pod kątem przetwarzania danych i zgodności z RODO;
  • weryfikacji umów powierzenia przetwarzania danych osobowych oraz propozycji zmian postanowień pod kątem RODO;
  • weryfikacji stosowanych klauzul informacyjnych oraz propozycji nowych klauzul na gruncie RODO;
  • weryfikacji stosowanych klauzul zgody na przetwarzanie danych oraz propozycji nowych klauzul na gruncie RODO ( w szczególności zwracam uwagę na automatycznie odznaczane zgody, których pod rządami RODO być nie powinno) ;
  • opracowania wstępnej dokumentacji technicznej i organizacyjnej związanej z ochroną danych na gruncie RODO oraz systematycznej (cyklicznej, np. raz na kwartał) weryfikacji pod kątem nowych wytycznych i wskazówek organów nadzorczych.

W ramach podjętych działań powinno znaleźć się w następnym kroku m.in. renegocjowanie umów w celu ich dostosowania do zaktualizowanego prawa, wdrożenie koncepcji Privacy by design do procesów projektowania i wdrażania rozwiązań IT. Powyższe uwzględnić muszą one nowe prawa, w tym do: informacji, dostępu do danych, sprostowania danych, bycia zapomnianym, ograniczenia przetwarzania danych, przenoszenia danych, a także sprzeciwu wobec przetwarzania oraz profilowania i zautomatyzowanego podejmowania decyzji.

Ze względu na to, iż RODO przewiduje, że pewne szczególne kwestie mogą i powinny zostać uregulowane na gruncie ustawodawstwa krajowego,  niezbędne  będzie także monitorowanie zmian w polskiej ustawie o ochronie danych oraz ewentualne wdrożenie jej zasad w firmach. RODO wskazuje także konieczność regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Nie wystarczy zatem w dokumentacji uzasadnić swój wybór środków bezpieczeństwa, lecz także opracować, wdrożyć i udokumentować proces cyklicznej weryfikacji, że wybór ten jest trafny i zapewnia odpowiedni poziom bezpieczeństwa.

Ponieważ przepisy rozporządzenia budzą wątpliwości interpretacyjne, dla ich wyjaśnienia pomocne przedsiębiorcom mogą okazać się opinie i wytyczne Grupy Roboczej Art. 29 znajdujące się na stronie GIODO. Grupa robocza do spraw ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwana Grupą Roboczą Art. 29, jest organem doradczym składającym się z przedstawicieli organów nadzorczych powołanych przez każde państwo członkowskie. W kilku kwestiach, a dokładnie w zakresie dotyczącym powołania inspektorów danych osobowych, przenoszenia danych, ustalania wiodącego organu nadzorczego oraz kiedy trzeba przeprowadzić ocenę skutków operacji przetwarzania dla ochrony danych Grupa podjęła się wyjaśnienia wątpliwości związanych z interpretowaniem przepisów rozporządzenia. Z pewnością wytyczne te ułatwią przygotowania do wdrożenia RODO.

Co w przypadku nie dostosowania działalności do przepisów?

Za niezgodne z RODO przetwarzanie danych osobowych przewidywane są bardzo wysokie kary pieniężne. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego obrotu z poprzedniego roku. Aby uniknąć tego typu ryzyka, zalecane jest podjęcie odpowiednich działań jak najszybciej.

No Comments

Post a Comment