RODO – NAJWAŻNIEJSZE DZIAŁANIA DO PODJĘCIA

Poniżej przedstawione zagadnienia, obejmują listę działań które należy podjąć aby zapewnić zgodność przetwarzania danych osobowych z Przepisami Ustawy o ochronie danych osobowych (UODO) oraz następnie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO).

Opracowanie procedur przetwarzania danych

W swoich przygotowaniach do wdrożenia RODO należy pamiętać o przygotowaniu wewnętrznych procedur obowiązujących w firmie. Wszystkie obowiązujące dotychczas zasady należy uaktualnić i odpowiednio dostosować. Jeżeli rozporządzenie w jakimś miejscu nakłada przymus przeprowadzenia działań, koniecznym może się okazać rozbudowanie istniejących już obowiązków. Na pewno będziemy musieli zaktualizować również regulaminy usług i umowy o powierzeniu przetwarzania danych osobowych. Plusem RODO jest to, że cała dokumentacja może być prowadzona elektronicznie (w końcu!).

Podstawy prawne przetwarzania oraz ocena skutków ryzyka

Należy sprawdzić, czy podstawy prawne przetwarzania danych osobowych (np. zgoda, umowa z klientem) są aktualne i odpowiednio je dokumentować. Szczególną uwagę należy zwrócić na stosowane formularze zgody na przetwarzanie, klauzule informacyjne oraz politykę przetwarzania danych. Warto, niekiedy zaś trzeba, przeprowadzić ocenę skutków ryzyka w zakresie procesów przetwarzania danych.

Rejestr procesów przetwarzania

Kolejnym krokiem jest przygotowanie rejestru procesów przetwarzania, upoważnienia i dokumentację wewnątrz firmy. Dodatkowo należy informować osoby, których dane dotyczą o ich prawach i o „nas” jako administratorach danych osobowych. Należy również udokumentować jakie dane osobowe posiada firma, źródło ich pochodzenia oraz komu są one udostępniane. Rekomendowane jest w tym zakresie przeprowadzenie stosownego audytu.

Naruszenia ochrony danych

Musimy upewnić się, że działają w naszej organizacji odpowiednie procedury do wykrywania, raportowania i badania naruszenia ochrony danych. W przypadku naruszenia ochrony danych osobowych, administrator ma 72 godziny, od stwierdzenia naruszenia, na jego zgłoszenie organowi nadzorczemu. Oczywiście są od tego wyjątki, jednak zasada jest zasadą.

Inspektorzy Ochrony Danych

RODO kształtuje w sposób odmienny niż dotychczas kwestie związane z osobą kontrolującą bezpieczeństwo przetwarzania. Obecnie mamy do czynienia z Administratorem Bezpieczeństwa Informacji (ABI). Powołanie takiej osoby, zgodnie z obowiązującymi przepisami nie jest obligatoryjne. Rozporządzenie Unijne wprowadza Inspektora Ochrony Danych osobowych (IOD), którego w niektórych przypadkach trzeba będzie powołać. Kluczowe jest ustalenie czy dla Twojego przedsiębiorstwa taki obowiązek istnieje. IOD trzeba powołać w organach i podmiotach publicznych oraz gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. To jest właśnie to co lubimy najbardziej – RODO jest zbiorem wytycznych, w których momentami ciężko się poruszać, ze względu na dwuznaczność sformułować. Dlatego też rekomendujemy powołanie Inspektora Ochrony Danych, natomiast lekturę kilkudziesięciu stron wytycznych do wyżej wyboldowanego sformułowania i dyskusję wokół nich pozostawiamy sobie na dyskusje z „kolegami po fachu”.

Aspekty międzynarodowe

RODO wprowadza jednolite unormowania prawne na terenie Unii Europejskiej, co pozwala na uproszczenie funkcjonowania firm w międzynarodowym środowisku. Jeżeli organizacja działa na rynkach międzynarodowych, należy ustalić któremu urzędowi nadzoru do ochrony danych podlega. Konieczne może się również okazać opracowanie mechanizmu transferu danych osobowych do państw trzecich i organizacji międzynarodowych.

Dzieci

Konieczne jest także rozważenie wdrożenia systemów dla weryfikacji wieku osób i pozyskiwania zgody na czynności związane z przetwarzaniem danych od rodzica lub opiekuna prawnego. Szczególnej ochronie podlegać będą dane osobowe dzieci wykorzystywane do celów marketingowych, tworzenia profili osobowych, profili użytkowników oraz dane dzieci, korzystających z usług internetowych skierowanych bezpośrednio do nich. Zgodnie z nowymi przepisami, małoletni którzy nie ukończyli 13 roku życia do korzystania z tego typu usług będą musieli uzyskać zgodę osoby sprawującej nad nimi władzę rodzicielską lub opiekę. Nasze prawodawstwo w tym zakresie najpewniej będzie bardziej życzliwe niż RODO, które „poprzeczkę” zawiesza na poziomie 16 – tego roku życia.

Prawa osób fizycznych

Musimy zweryfikować procedury celem potwierdzenia, że obejmują one wszystkie prawa, jakie posiadają osoby fizyczne, w tym sposoby usuwania danych osobowych (remember about the right to be forgotten!), przekazywania danych drogą elektroniczną, sprostowania danych osobowych czy wyrażenia sprzeciwu. Informacje odnośnie przetwarzania powinny być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie w powszechnie używanym formacie.

Tyle z naszej strony, jeżeli będziecie Państwo zainteresowani naszym wsparciem w procesach wdrażania RODO, serdecznie zapraszamy do kontaktu!