Ogólne rozporządzenie o ochronie danych osobowych (RODO) sieje niemałe zamieszanie wśród przedsiębiorców. W odróżnieniu od GIODO nie zawiera ono spisu czynności czy dokumentów, które są obowiązkowe i czego zrealizowanie byłoby utożsamiane z „załatwieniem sprawy”. W takim razie jak się przygotować na nowe przepisy?
Na gruncie RODO nie ma już obowiązku posiadania dokumentów, które do tej pory były obowiązkowe tj. polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym (mimo tego polecamy dane dokumenty posiadać w razie kontroli). Jedynym dokumentem, którego posiadanie wymaga RODO jest tzw. rejestr czynności przetwarzania danych osobowych, o którym pisaliśmy w artykule Rejestr czynności przetwarzania danych osobowych.
W porządku, ale czym jest proces przetwarzania danych osobowych?
Przez proces przetwarzania danych osobowych należy rozumieć wszystkie czynności podejmowane od chwili zebrania danych osobowych, aż do ich usunięcia.
W związku z powyższym, aby prawidłowo wdrożyć RODO w firmie należy:
- ustalić procesy przetwarzania danych osobowych i opisać dla każdego z nich rejestr przetwarzania,
- ustalić ryzyko naruszenia danych osobowych w każdym procesie,
- ustalić poszczególne elementy procesu, w którym następuje powierzenie przetwarzania danych innym podmiotom.
Etap pierwszy wdrożenia: Ustal procesy przetwarzania danych osobowych
Na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. zostaliśmy przyzwyczajeni do pojęcia zbiorów danych osobowych. Na gruncie RODO najważniejszym pojęciem z zakresu ochrony danych osobowych są procesy przetwarzania danych osobowych.
W ramach ustalonych procesów konieczne będzie określenie m.in.:
- podstawy prawnej przetwarzania danych zgodnej z RODO,
- zakres przetwarzanych danych osobowych,
- treść obowiązków informacyjnych towarzyszących gromadzeniu danych.
Przykład. W każdym podmiocie zatrudniającym pracowników będziemy mieli do czynienia z procesem przetwarzania danych kadrowo-płacowych. W ramach tego procesu są podejmowane czynności związane z rekrutacją (powstaniem stosunku pracy), trwaniem stosunku pracy oraz ustaniem stosunku pracy. Podstawę prawną przetwarzania danych stanowi m.in. kodeks pracy. Zakres obejmuje podstawowe dane osobowe pracowników m.in. imię i nazwisko, adres, numer telefonu czy wykształcenie.
E-sklep. W sklepie internetowym procesem, który będzie miał istotne znaczenie jest proces związany z transakcjami sprzedaży. Podstawą prawną do przetwarzania danych tego procesu wskazuje art. 6 ust. 1 lit b) RODO – a więc realizacji przetwarzania danych osobowych w celu realizacji umowy, w tym przypadku umowy sprzedaży.
Etap drugi wdrożenia: Ustal ryzyko naruszenia danych osobowych
Dla wszystkich procesów konieczne jest ustalenie poziomu ryzyka związanego z przetwarzaniem danych osobowych i wdrożenie odpowiednich środków zabezpieczenia danych osobowych. Na gruncie dotychczasowej ustawy o ochronie danych osobowych zostały wypracowane 3 poziomy ryzyka tj. niski, podwyższony i wysoki.
Warto również pamiętać, że administrator jest zobowiązany do ciągłego monitorowania poziomu ryzyka związanego z przetwarzaniem danych osobowych.
Przykład. Ustalenie ryzyka procesu kadrowo-płacowego
- Dane są przetwarzane w formie kartotek oraz za pośrednictwem systemu informatycznego, który jest utrzymywany na zewnętrznym serwerze – administrator posiada umowę powierzania danych osobowych,
- Dostęp do danych ma 3 użytkowników upoważnionych do przetwarzania danych osobowych, którzy nie przeszli szkolenia w zakresie ochrony danych osobowych,
- Okres archiwizacji danych wynosi 50 lat.
Poziom ryzyka naruszenia danych: wysoki.
Uzasadnienie: W związku z tym, że dane są przetwarzane za pośrednictwem systemu komputerowego ryzyko naruszenia danych jest wyższe niż w przypadku przetwarzania danych wyłącznie w formie papierowej (tj. kartotek). Większa ilość użytkowników posiadających dostęp do przetwarzanych danych również należy uznać za cechę, które powoduje wzrost ryzyka naruszenia przetwarzania danych osobowych. Nie bez znaczenia jest również fakt braku wiedzy użytkowników związanej z ochroną danych osobowych np. co robić w przypadku otrzymania maila od nieznanego adresata, a to również ma wpływ na podwyższenie poziomy ryzyka naruszenia danych. Ponadto, zgodnie z przepisami dane są archiwizowane przez okres 50 lat co również stanowi element, które powoduje wzrost ryzyka.
Etap trzeci wdrożenia: Powierzenie przetwarzania danych osobowych
Prowadzenie działalności bardzo często wiąże się z powierzeniem przetwarzania danych osobowych innemu przedsiębiorcy np. usługi księgowe, hosting czy usługi prawne. Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych umowę powierzenia, z której wynikają zasady powierzenia danych. Więcej na temat umowy o powierzanie danych osobowych pisaliśmy w artykule Umowa powierzania przetwarzania danych osobowych.
Na tym kończymy nasz cykl artykułów związanych z RODO. Proszę pamiętać, że wszystkie firmy przetwarzające dane osobowe osób fizycznych muszą przygotować się do nowych zasad zbierania i przetwarzania danych. Kary za nieprzestrzeganie nowych przepisów RODO są wysokie i fakt ten wykorzystują oszuści, zastraszając przedsiębiorców. Niektórzy wykorzystują niewiedzę przedsiębiorców i straszą ich, równocześnie sprzedają nic nieznaczące certyfikaty albo pakiety już gotowej dokumentacji zgodnej z RODO. Prawda jest taka, że każda firma posiada inne procedury, mechanizmy oraz zasoby danych, więc do każdego podmiotu trzeba podejść indywidualnie. Najkorzystniej jest zatrudnić osobę, która w sposób profesjonalny dokona audytu działalności i dostosuje procedury oraz dokumentacje. Jednocześnie uspokajamy – wielomilionowe kary zarezerwowane są dla firm, które w sposób masowy przetwarzają miliony danych, a nie małych podmiotów. Aczkolwiek wymagania rozporządzenia należy spełnić i umieć przedstawić ich realizację w razie ewentualnej kontroli.
