Jak wdrożyć RODO?

Czym jest wdrożenie RODO?    

Wdrożenie RODO to nic innego jak wdrożenie w swojej firmie systemu ochrony danych osobowych. Są to więc m.in.:

  • wdrożenie technicznych zabezpieczeń (np. zamkniętych szaf na dokumenty z danymi Klientów),
  • kierowanie do obsługi i pracy z danymi osobowymi osób po wcześniejszym wydaniu im odpowiedniego upoważnienia,
  • wprowadzenie procedur dot. pracy z danymi,
  • wprowadzenie tzw. polityki czystego biurka i ekranu,
  • wdrożenie polityki ochrony danych osobowych,
  • zbieranie odpowiednich zgód, w tym m.in. na przetwarzanie danych dot. zdrowia,
  • uregulowanie jeszcze wielu innych obszarów w firmie. O tym powiem jeszcze więcej w kolejnych odsłonach.

RODO to nie tylko Polityka prywatności. Więcej na ten temat we wpisie: Czy sama Polityka prywatności wystarczy do wdrożenia RODO?

Jeśli masz wątpliwości czy RODO Cię dotyczy, sprawdź mój krótki artykuł na ten temat. Poruszam w nim nie tylko kwestię obowiązku wdrożenia RODO, ale także mówię dlaczego warto to zrobić. Tak, RODO to nie tylko przykry obowiązek, ale także możliwość budowania profesjonalnego wizerunku swojej firmy (w tym działalności nierejestrowanej).

A teraz przejdźmy do konkretnych kroków, dzięki którym dowiesz się, jak wdrożyć RODO!

Plan wdrożenia RODO krok po kroku

Jeśli chcesz wdrożyć RODO samodzielnie, pierwsze co powinieneś zrobić, to przygotować plan wdrożenia RODO.

Poniżej podam Ci 5 podstawowych kroków, które będzie musiał wykonać wdrażając RODO samodzielnie (zresztą, te same kroki wykonuję też u moich Klientów) a są to:

  1. Audyt RODO
  2. Analiza ryzyka
  3. Dokumentacja RODO
  4. Klauzula RODO
  5. Monitorowanie ryzyka

W kolejnej części wpisu rozwinę każdy z tych kroków, więc czytaj dalej!

Audyt RODO – KROK 1.

Audyt to baza wszystkiego.

Bez audytu nie wdrożysz RODO w swojej działalności. Bez audytu nie uda Ci się dobrze chronić danych osobowych.

Ponieważ w internecie jest mnóstwo stron z ogólnymi wpisami o audycie RODO, postanowiłam pójść o krok dalej i przygotować specjalnie dla osób, które trafiły na tę stronę – prosty dokument audytowy, które pomoże Wam przynajmniej w podstawowym zakresie zobaczyć jak może wyglądać ten proces.

Wiem, że wiele osób trafia do mnie poszukując pomocy przy wdrożeniu RODO (wtedy też audyt przeprowadzi z moim wsparciem), ale uznałam, że mimo wszystko będzie grupa osób, które będą starły się wdrożyć RODO samodzielnie i wtedy taki filmik instruktażowy będzie dużym wsparciem.

Uśmiechnięta Kinga Konopelko, prawnik przedsiębiorców.

Ważna rzecz jest taka, że przeprowadzenie audytu to JEDEN KONKRETNY I DUŻY KROK do tego, by przygotować swoją firmę do działania zgodnie z RODO i do dbania o ochronę danych osobowych.        

Nie zrobisz tego inaczej jak przez przyjrzenie się temu jak u Ciebie teraz to wszystko wygląda.

Nie mogę dać Ci gotowych odpowiedzi, bo każda firma jest inna, ale mam nadzieję, że moje wskazówki pomogą Ci w tym, żeby przyjrzeć się bardzo szczegółowo temu co się dzieje w Twoim biznesie.

Po przeprowadzeniu audytu powinieneś wiedzieć:

  • Czyje dane zbierasz?
  • Jak je zbierasz?
  • Komu je przekazujesz?
  • Jak długo je przechowujesz? Kiedy je usuwasz?
  • Jak je przechowujesz?
  • Jak je zabezpieczasz?

Bez tych informacji nie będziesz w stanie przejść kolejnych kroków

Film instruktażowy pomagający w samodzielnym audycie RODO

Poniżej znajdziesz link do dokumentu, który pokazuję na filmiku:

KLIKNIJ TU >>> Darmowy DOKUMENT AUDYTOWY RODO wersja edytowalna <<<

KLIKNIJ TU >>> Darmowy DOKUMENT AUDYTOWY RODO wersja PDF do druku <<<

Analiza ryzyka naruszenia ochrony danych osobowych – KROK 2.

Pamiętaj, że przeprowadzenie Analizy ryzyka naruszenia ochrony danych osobowych jest konieczne. Jest to nowy obowiązek wynikający z RODO, który na pewno będzie weryfikowany podczas kontroli.

Zresztą, bez wykonania analizy ryzyka nie będzie możliwe właściwe zabezpieczenie danych.

Jak przeprowadzić taką analizę?

Nie ma wyłącznie jednej metody, według której analizę taką powinieneś wykonać. Pomocą może być dla Ciebie poradnik umieszczony przez Urząd Ochrony Danych.

Ponieważ nie chcę Cię zostawiać bez żadnych wskazówek, poniżej podam Ci kilka najważniejszych pytań, na które powinieneś sobie odpowiedzieć przeprowadzając analizę ryzyka.

Odpowiedz sobie na pytania:

1. Jakie zdarzenia, zagrożenia, ryzyka mogą wystąpić względem posiadanych przez Ciebie danych?   

Przykładowe zagrożenia: osoba nieupoważniona, tj. np. kurier/Klient może uzyskać dostęp do danych innego Klienta; utrata danych w formie elektronicznej na dysku; kradzież danych Klientów; utrata danych Klientów w wyniku pożaru (dot. dokumentacji), zgubienie dysku zewnętrznego/pendrive z danymi, pozostawienie konta bez wylogowania się w miejscu publicznym, zainfekowanie komputera i możliwość „wypływu” danych na zewnątrz organizacji, itp.  

WSKAZÓWKA: Wypisz wszystkie ryzyka, jakie mogą pojawić się względem poszczególnych grup danych, tzn. opisz jakie ryzyka występują względem danych Klienta, danych użytkowników strony, danych subskrybentów newslettera itp.

Następnie zastanów się:

2. Czy ryzyko naruszenia praw osób, których dane dotyczą jest niskie/średnie/wysokie i jak często występuje?

3. Oceń jakie mogą być skutki naruszenia danych osobowych?

Przykładowo, na skutek kradzieży danych osobowych w formie akt osobowych dochodzi/może dojść do „kradzieży tożsamości”, do „zalewania osoby, której dane dotyczą spamem”, do zawarcia umów w imieniu tej osoby, do straty wizerunkowej Twojej firmy, do zapłaty kary z tytułu naruszenia na gruncie RODO, do obowiązku zapłaty kar/odszkodowań itp.

4. Następnie podejmij decyzję czy ryzyko takie akceptujesz?

5. Jeśli nie akceptujesz ryzyka, zastanów się jakie działania podejmiesz, żeby zmniejszyć ryzyko wystąpienia danego zdarzenia/zagrożenia lub całkowicie wyeliminować?

O co w tym wszystkim chodzi?

Przykładowo – jeśli mamy do czynienia z czynnością przetwarzania danych osobowych pracowników zatrudnionych w firmie jednym z ryzyk/zagrożeń może być np. zniszczenie w wyniku pożaru.

Dostrzegając to ryzyko należy następnie ocenić jak duże prawdopodobieństwo jest jego wystąpienia oraz ewentualna możliwa częstotliwość występowania.

Po określeniu tego, należałoby zastanowić się nad tym, jak takie ryzyko można byłoby zmniejszyć bądź całkowicie wyeliminować.

Przykład: W przypadku zagrożenia dot. zniszczenia akt w wyniku pożaru można zastanowić się nad zamontowaniem czujnika przeciwpożarowego lub odpowiednim zabezpieczeniem akt poprzez ich umieszczenie np. w szafie zamykanej metalowej lub innej odpowiednio zabezpieczającej przed ewentualnym pożarem, wprowadzić procedurę sprawdzania ważności gaśnic, zastanowić się nad tworzeniem kopii zapasowych akt, itp.

Wskazówka:

Wykonaj Analizę w formie pisemnej/elektronicznej, żeby był  ślad po tym, że rzeczywiście ją zrobiłeś. RODO nakłada na Ciebie obowiązek rozliczalności, tzn. w przypadku kontroli będziesz musiał wykonać, że wykonałeś analizę ryzyka, a nie udowodnisz tego w inny sposób, jak tylko przez okazanie takie dokumentu.

Dokumentacja RODO – KROK 3.

Dokumenty te są też jednym ze środków zabezpieczających przed naruszeniem ochrony danych.

Wprowadzenie procedur w firmie i stosowanie się do nich nie tylko bowiem pomaga uporządkować sprawy związane z danymi w firmie, ale także pomaga „pracować” na danych w prawidłowy sposób.

Posiadanie spisanych procedur ogranicza także każdorazowo wdrażanie nowych osób. Nowy pracownik ma bowiem wszystko w nich opisane i w związku z tym, poza ewentualnym rozwianiem wątpliwości, właściciel firmy bądź inny oddelegowany pracownik nie musi poświęcać dodatkowego czasu na takie zapoznanie i wdrożenie nowego pracownika.

Dokumenty RODO

RODO nie narzuca listy wymaganej dokumentacji.

Przedstawiam poniżej wytyczne Urzędu Ochrony Danych Osobowych dot. dokumentów, które w zależności od firmy powinny być przygotowane:

  1. Polityka ochrony danych osobowych,
  2. Instrukcja zarządzania systemem informatycznych,
  3. Upoważnienie do przetwarzania danych osobowych i inne dokumenty pomocne przy ewidencji upoważnień,
  4. Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, o których mowa w art. 30 RODO – o ile dotyczy,
  5. Procedurę obsługi praw osób, których dane dotyczą;
  6. Wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  7. Procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  8. Procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  9. Raport z przeprowadzonej, ogólnej analizy ryzyka;
  10. Raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  11. Procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  12. Plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  13. Procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

Są to oczywiście dokumenty przykładowe, wskazane m.in. przez Urząd Ochrony Danych Osobowych. Każdorazowo należy ocenić, które dokumenty faktycznie będą przydatne w firmie i będą mogły wspomóc ochronę danych osobowych.

Klauzula RODO – KROK 4.

Jeśli zbierasz dane osobowe, każda osoba, od której otrzymałeś dane powinna być poinformowana o tym, co z tymi danymi robisz.

Zrób sobie na początek prosty test:

Czy w ramach prowadzonej działalności, przekazujesz swoim Klientom, potencjalnym Klientom, subskrybentom newslettera, użytkownikom Twojej strony czy fanpage’a, pracownikom (o ile ich posiadasz), klauzulę informacyjną RODO?

Jeśli nie, to znaczy, że najprawdopodobniej naruszasz przepisy RODO i to przepisy kluczowe dla ochrony danych osobowych.

Dlaczego stworzenie klauzuli informacyjnej RODO jest tak ważne? 

Nie – powodem nie jest to, że właśnie z powodu niezrealizowania obowiązku informacyjnego jedna ze Spółek otrzymała od Prezesa Urzędu Ochrony Danych karę administracyjną w wysokości ponad 940 000 zł.

Powód jest inny.

Spójrz na to z własnej perspektywy.

  1. Czy chcesz wiedzieć KTO (jaki podmiot/y) posiada Twoje dane?

Jeśli jakiś podmiot posiada Twoje dane, to chciałabyś wiedzieć, albo przynajmniej mieć prawo dowiedzieć się:

  1. CO z Twoimi danymi ROBI ten podmiot?
  2. W jakim CELU je zebrał?
  3. Co pozwala mu na to, że przetwarza Twoje dane? (Czy jest to Twoja zgoda czy może przepis prawa a może coś jeszcze innego; jeśli Twoja zgoda, to czy możesz ją cofnąć i jak)?
  4. Czy musisz/musiałeś te dane podać (z czego to wynika) i co się stanie jeśli byś ich nie podał?

Jeśli podmiot przetwarza Twoje dane, to najprawdopodobniej komuś je przekazuje. Pojawiają się więc kolejne pytania:

  1. KOMU ten podmiot powierza Twoje dane?
  2. Czy przekazuje je poza obszar UE/Europejski Obszar Gospodarczy i jakie zabezpieczenia są stosowane?
  3. SKĄD pozyskał Twoje dane (od Ciebie czy może ktoś mu przekazał)?
  4. JAK DŁUGO będzie posiadał (przetwarzał) Twoje dane?
  5. Jak możesz SKONTAKTOWAĆ się z tym podmiotem oraz czy ustanowił dodatkową osobę, z którą możesz się kontaktować w sprawie Twoich danych, m.in. Inspektora  Ochrony Danych,
  6. Czy przysługują Ci jakieś PRAWA w odniesieniu do tych danych, czy masz do nich dostęp, czy możesz żądać ich usunięcia z bazy danych Administratora, poprawienia, przenoszenia danych, prawo ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania),
  7. Czy możesz wnieść SKARGĘ do Prezesa Urzędu Ochrony Danych Osobowych?
  8. Czy w oparciu o Twoje dane, Administrator wyciąga jeszcze jakieś inne wnioski; czy profiluje Twoje dane?

Obowiązek informacyjny jest kluczowy dla zapewnienia przetwarzania danych zgodnie z RODO.

Obowiązek informacyjny pozwala na realizację prawa do wiedzy o tym co się dzieje z danymi osoby, której dane są przez kogoś przetwarzane.

Co powinieneś teraz zrobić?

Zadbaj o dostosowanie się do wymogów RODO i zrealizuj swój podstawowy obowiązek, jakim jest obowiązek informacyjny. Możesz to zrobić samodzielnie lub z moją pomocą.

RODO wymaga od Administratora danych realizacji obowiązku informacyjnego.

Administrator musi informować wszystkie osoby, których dane przetwarza (posiada lub wykonuje inne operacje z tymi danymi) o tym, co się z tymi danymi dzieje.

Jak realizować obowiązek informacyjny?

Bardziej szczegółowo opowiem o tym w innych artykule. W tym wpisie podam tylko kilka wskazówek jak „zabrać się” za realizację tego obowiązku.

  • przygotować klauzule informacyjne w każdym przypadku, w którym dochodzi do „zbierania danych”,
  • zdecydować w jaki sposób je przekazywać osobom, których dane są „zbierane”,
  • wprowadzić to „w życie”.

Jak stworzyć klauzulę RODO?

Klauzula musi zawierać informacje wymagane w art. 13 RODO lub w art. 14 RODO; art. 14 dotyczy sytuacji gdy Administrator otrzymał dane nie bezpośrednio od danej osoby, a np. z innego źródła, np. od innego podmiotu/ z rejestrów publicznie dostępnych, itp.

To co wskazałam na początku to informacje, które o ile dotyczą danej sytuacji – muszą się obowiązkowo znaleźć w każdej klauzuli. Przetłumaczyłam je tylko „z prawniczego” na polski.

Jaką formę taka klauzula powinna przybrać?

Nie ma tu konkretnej formy, ani nazwy.

Przykład – klauzula informacyjna dla Klientów może być przygotowana w formie elektronicznej lub pisemnej – ważne, żeby Klient miał możliwość się z nią zapoznać.

Podobnie z pracownikami. Jeśli masz wewnętrzny system ekstranet – również tam możesz tę klauzulę umieścić dbając o to, żeby pracownicy mogli się z tym zapoznać.

Tytuł również nie ma znaczenia – informacja może go posiadać, ale nie musi. Tytuł jedynie pozwala szybko dowiedzieć się, czego dotyczy przedstawiana informacja.

Inny przykład – klauzula informacyjna odnosząca się do strony www jest oznaczana najczęściej jako Polityka prywatności. Niektórzy na potrzeby realizacji obowiązku informacyjnego, tworzą na stronie odrębną zakładkę pod nazwą RODO, itp.

Wskazówka: Jakie obszary należy uregulować w Polityce prywatności? Jeśli zbierasz dane za pośrednictwem takiej strony, np. za pomocą formularza kontaktowego, strony zapisu na newsletter itp. powinno być to wszystko uregulowane w takiej Polityce.

Dodatkowo, jeśli Twoi potencjalni Klienci czy Klienci trafiają do Ciebie przez stronę (np. dokonują zakupu produktu/zamawiają usługę on-line lub zapisują się na listę oczekujących na produkt), już wtedy – w Polityce warto wskazać co się dzieje z danymi tych potencjalnych Klientów i Klientów. Dzięki temu nie będzie potrzeby wysyłania im oddzielnej klauzuli informacyjnej.

Więcej o Polityce prywatności przeczytasz w dedykowanym wpisie.

Klauzule nie powinny być przygotowywane w sposób ogólny.

Klauzule powinny odnosić się do konkretnych obszarów/procesów, w których dane są zbierane, bo dzięki temu będą bardziej dostosowane do odbiorców.

Warto przygotować odrębną klauzulę informacyjną dla konkretnych obszarów, np. dla kandydatów do pracy w związku z tym, że zbiera się ich dane w ramach procesu rekrutacyjnego. Wówczas należałoby przygotować także odrębną klauzulę informacyjną dla pracowników, inną dla celów realizacji umowy z klientami czy kontrahentami, czy do e-maila. Należałoby także przygotować odpowiednie klauzule dot. danych z monitoringu wizyjnego czy poczty elektronicznej, itp.

Jeśli chcesz te klauzule „zebrać w jedną” musi być napisana w sposób, który pozwoli takiemu odbiorcy uzyskać informację, co się dzieje z danymi zbieranymi np. do celów realizacji umowy, a co się dzieje z danymi zbieranymi np. w ramach newslettera.

Warto zweryfikować, czy prowadząc taką stronę internetową, posiadasz wszystkie te informacje wymagane art. 13 RODO i  czy są one łatwo dostępne dla użytkowników tej strony.

PS. Temat klauzul dla różnych grup odbiorców pojawi się jeszcze na blogu, dlatego nie będę szczegółowo ich analizowała w ramach tego wpisu.

Wzór polityki prywatności. Wybierz pakiet.

Potrzebujesz sprawdzonego wzoru polityki prywatności? Sprawdź moje pakiety!

KROK 5 – MONITOROWANIE

Należy monitorować stosowanie przepisów nie tylko do dnia wdrożenia. Proces dbania o przetwarzanie danych osobowych w firmie jest bowiem procesem, nad którym powinno się czuwać przez cały czas.

Na potwierdzenie tego, zalecane jest wykonywanie okresowych wewnętrznych kontroli/audytów czy ponownej analizy ryzyka, np. po roku od jej pierwszego wykonania

INFORMACJA PONIŻEJ JEST DLA OSÓB, KTÓRE NIE CHCĄ WDRAŻAĆ RODO SAMODZIELNIE.

Jeżeli nie chcesz wdrażać RODO samodzielnie, skontaktuj się ze mną, SKORZYSTAJ ZE WSPARCIA PRZY WDROŻENIU RODO :
1) zamów indywidualne wdrożenie RODO,
2) zamów dostęp do pakietu dokumentów.

Wdrożenie RODO. Pakiet dokumentów + instrukcje wideo.
Tags: