Statuo

Ochrona danych, kontrola zarządcza, wizerunek i promocja

Jak wdrożyć RODO?

Autor: Łukasz Wojciechowski

Za kilka dni zaczną nas bezwzględnie obowiązywać nowe uregulowania prawne Unii Europejskiej w zakresie ochrony danych osobowych. Niemal każda polska instytucja i firma zadaje sobie pytanie – jak wdrożyć RODO? Przedstawiam mój subiektywny pogląd na tę sprawę – 18 dłuższych i krótszych kroków do celu.

1. Nie należy popadać w panikę.

Moim zdaniem wprowadzaniu zmian w sposób szczególny szkodzi RODOszaleństwo i ogromna dezinformacja. Dodatkowo podsycane przez nieuczciwe firmy (pisałem o tym tutaj). Pamiętajmy, że 25 maja 2018 r. to początek, a nie koniec. Jeżeli do tej pory zrobiliśmy (za) mało, to od dzisiaj zacznijmy robić więcej. O wiele lepszą sytuacją jest rozpoczęcie wprowadzania zmian „za pięć dwunasta” i robienie tego systematycznie, niż przygotowanie wszystkiego przed tą magiczną datą i zapomnienie o ochronie danych osobowych.

2. Na początek warto zrozumieć filozofię RODO.

Unia Europejska poprzez nowe regulacje wymaga od nas systematyczności  i zmiany podejścia do ochrony danych osobowych. Wymóg wprowadzenia mechanizmów ochrony proaktywnej (prewencyjnej), czyli ochrony prywatności na etapie projektowania (privacy by design) to nic innego jak oczekiwanie, że zanim podejmiemy jakiekolwiek działania w pracy, zastanowimy się czy będziemy w tych działaniach przetwarzać dane osobowe i w jaki sposób je zabezpieczymy.

3. W ochronę danych osobowych muszą się zaangażować wszyscy pracownicy.

Niestety, żeby ochrona danych osobowych działała dobrze, niedopuszczalna jest sytuacja, w której w zakładzie pracy jest jeden „prymus”, który świetnie zna temat, a reszta się tym nie przejmuje. Osoba, która orientuje się w temacie powinna przeszkolić innych pracowników i powiedzieć im, co mają robić i na co zwrócić uwagę.

4. Procedury – dokumentacja ochrony danych osobowych.

W każdej instytucji i firmie musi istnieć grupa spójnych, dobrze przygotowanych procedur w zakresie ochrony danych osobowych. Jeżeli mamy dokumentację stworzoną „po staremu” (wg tego Rozporządzenia) to powinniśmy ją zaktualizować. RODO daje nam większą elastyczność. Administrator danych decyduje w jaki sposób je chronić, żeby były bezpieczne. Jeżeli nie mamy procedur (dokumentacji ochrony danych) to trzeba je jak najszybciej stworzyć. W przeciwnym wypadku trudno nam będzie wykazać, że panujemy nad sytuacją i jesteśmy w stanie rozliczać procesy związane z danymi osobowymi.

5. Pracownicy powinni zostać upoważnieni do przetwarzania konkretnych zbiorów danych.

Tak, mechanizmy nadawania uprawnień do przetwarzania danych osobowych wynikające ze „starych przepisów” były dobre. Nie da się inaczej zapanować nad sytuacją niż upoważniając konkretnych pracowników do pracy z konkretnymi danymi. Warto też prowadzić w wersji elektronicznej rejestr upoważnień – daje to klarowny przegląd w zakresie tego kto i do czego jest upoważniony.

6. Dokumentowanie na bieżąco wszystkich kwestii związanych z ochroną danych osobowych.

Zgodnie z RODO jesteśmy zobowiązani regularne testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Warto w tym celu założyć specjalny RODOsegregator i dokumentować w nim wszystkie działania, m.in. szkolenia, sprawdzenia, zebrania na których doskonalimy nasz system ochrony danych osobowych.

7. Przeprowadzanie sprawdzeń i ich dokumentowanie.

Jeżeli nie wiemy jak, to możemy bazować na metodologii zawartej w tym Rozporządzeniu. Pomimo tego, że przestanie ono obowiązywać razem ze „starą ustawą” o ochronie danych osobowych, to możemy je nadal stosować jako dobrą praktykę.

8. Powołanie Inspektora Ochrony Danych.

Wszystkie podmioty publiczne i niektóre podmioty prywatne muszą mieć w swoich szeregach Inspektora Ochrony Danych. Niedawno na stronie GIODO pojawiły się wytyczne na temat powoływania Inspektorów Ochrony Danych (IOD) i odwoływania Administratorów  Bezpieczeństwa Informacji (ABI).

9. Ustalamy precyzyjną procedurę – przez jaki czas przechowujemy dane osobowe.

Oczywiście odrębną dla różnych rodzajów danych osobowych. Dodatkowo zgodną z instrukcją kancelaryjną, przepisami prawa i zasadą – przechowujemy tylko takie dane, które naprawdę są nam potrzebne i tylko przez tyle czasu, ile naprawdę musimy.

10. Porządkujemy kwestię powierzania danych osobowych innym podmiotom.

W tym celu robimy przegląd istniejących umów i jeśli jest to uzasadnione aneksujemy je lub podpisujemy nowe umowy (powierzenia). Musimy też przeanalizować sytuacje, w których to nam ktoś powierza dane i jesteśmy w tej sytuacji procesorem.

11. Porządkujemy kwestię udostępniania danych osobowych innym podmiotom.

Udostępniamy dane, czyli podmiot, który je dostaje staje się względem nich administratorem danych. Robimy to zawsze tylko na pisemny wniosek i jeżeli podmiot wnioskujący wskazuje prawidłową podstawę prawną. Dane możemy udostępniać Policji, sądom, ale też w zależności od sytuacji osobom indywidualnym.

12. Analiza ryzyka.

Jest zgodnie z RODO wymagana u wszystkich Administratorów danych. Przeprowadzamy ją regularnie (kwartalnie, półrocznie, rocznie) i dokumentujemy ten proces. Dla osób, które nie miały dotąd do czynienia z analizą ryzyka polecam ten Komunikat Ministra Finansów, niezwiązany z RODO, ale stanowiący bardzo dobry zbiór informacji w zakresie planowania i zarządzania ryzykiem.

13. Prowadzimy rejestry zgodnie z RODO.

Rejestr czynności przetwarzania – dla naszych zbiorów danych oraz rejestr kategorii przetwarzania dla danych, które zostały nam powierzone. Wzory rejestrów i bardzo dobre objaśnienia znajdują się na blogu niezastąpionej Sylwii Czub.

14. Wypełniamy obowiązek informacyjny na nowych zasadach.

Więcej na ten temat TUTAJ.

15. Unikamy nadgorliwości w pozyskiwaniu danych i procedurach.

Zbieramy tylko te dane, które są naprawdę potrzebne. Umieszczamy klauzule tylko tam, gdzie są konieczne. Pobieramy zgody tylko wtedy, gdy nie ma innej podstawy prawnej przetwarzania danych.

16. Dokonujemy oceny skutków przetwarzania dla ochrony danych (art. 35 RODO).

Zgodnie z projektem nowej polskiej ustawy o ochronie danych, w nawiązaniu do art. 35. ust. 4 RODO, Prezes Urzędu Ochrony Danych Osobowych określi w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Przydatne w tym zakresie będą informacje na stronie GIODO.

17. Od 25.05.2018 r. zgłaszamy naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin.

To mało czasu, a do naruszenia może dojść tuż przed długim weekendem, świętami itd. Dlatego warto stworzyć odpowiednią procedurę, żeby wiedzieć w jaki sposób postępować w sytuacji naruszenia.

18. Dostosowujemy stronę internetową do RODO.

Warto nie zapominać o tym aspekcie naszej działalności. Dodatkowo nasza strona internetowa musi spełniać wymogi zawarte w prawie telekomunikacyjnym oraz ustawie o świadczeniu usług drogą elektroniczną.

administracjaadministracja samorządowabezpieczeństwo informacjicyberbezpieczeństwocyberprzestępczośćGIODOochrona danych osobowychŁukasz Wojciechowski

20 maja 2018


Poprzedni wpis

Kolejny wpis