RODO za pięć dwunasta

Wchodzi w życie rozporządzenie o ochronie danych osobowych. Poniżej przedstawiamy 10 wskazówek, które pomogą ustalić, na jakim etapie compliance, czyli dostosowania do nowych wymogów prawnych, jest twoja organizacja.

25 maja 2018 r. wchodzą w życie nowe unijne przepisy o ochronie danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) powszechnie znane jako RODO lub GDPR (ang. General Data Protection Regulation).

1. Świadomość zakresu zmian

Upewnij się, że w twojej organizacji co najmniej osoby na stanowiskach kierowniczych oraz osoby mające dostęp do danych osobowych zdają sobie sprawę z obowiązków wynikających z RODO, rozumieją je, wiedzą, jak zakomunikować je pozostałym pracownikom i mają świadomość, jaką dokumentację powinniście prowadzić.

Zobacz również:

Bez sprawdzenia poziomu wiedzy personelu odpowiedzialnego za przetwarzanie danych nie będzie możliwe prawidłowe zlokalizowanie zagrożeń dla danych osobowych i zapobieganie im.

Jeśli nie zadbasz o zbudowanie świadomości pracowników z zakresu bezpieczeństwa danych oraz wymogów formalnych, o wielu problemach możesz dowiedzieć się dopiero wtedy, kiedy trzeba będzie je szybko rozwiązać, a na zapobieganie będzie już za późno. W praktyce oznaczać to może znaczące koszty związane z „gaszeniem pożarów” (np. usuwanie konsekwencji naruszenia przepisów, szukanie sposobu na dostarczenie osobom indywidualnym informacji, jakich mogą się domagać od firm przetwarzających ich dane, odpowiadanie na roszczenia i pisma w postępowaniach administracyjnych), na które twoja organizacja może nie być zupełnie gotowa.

2. Przegląd posiadanych danych osobowych

Wdrożenie RODO to świetna okazja do przeanalizowania i zreorganizowania zgromadzonych dotychczas danych osobowych. Robiąc to, powinieneś odpowiedzieć sobie na kilka pytań:

• W jakim celu przechowuję dane osobowe?

• Czy rzeczywiście z nich korzystam i w jakim celu?

• Czy dla spełnienia założonego celu możemy zbierać mniej danych osobowych?

• Czy dla realizacji naszych celów przetwarzania danych (np. prowadzenia statystyk) wystarczyłyby zanonimizowane dane?

• Czy dostęp do danych mają tylko ci pracownicy, którym jest on niezbędny do pracy?

Zgodnie z RODO przechowywanie danych to również forma przetwarzania. Tym samym pozbywając się niepotrzebnych danych osobowych, zmniejszamy ryzyko nieuprawnionego dostępu do danych przez osoby trzecie oraz sankcji administracyjnych.

3. Podstawy prawne przetwarzania

Biorąc pod uwagę, że na administratorze ciąży obowiązek wykazania, iż przetwarzanie odbywa się zgodnie z prawem, już dziś powinieneś określić, która z podstaw będzie dla ciebie najdogodniejsza ze względu na charakter prowadzonej działalności.

Czasami wystarczy odwołanie się do konieczności wynikającej z wykonywania umowy czy obowiązków ustawowych. Zadbaj wówczas, aby dokumenty określające warunki świadczenia usług przez twoją firmę – umowy, regulaminy świadczenia usług, polityka prywatności etc. – jasno określały, na czym polega usługa i jakim zakresie oraz dlaczego do jej realizacji będzie niezbędne przetwarzanie danych osobowych, o których udostępnienie prosisz swojego klienta.

W innych wypadkach zastosowanie znajdzie zgoda na przetwarzanie danych osobowych. Sprawdź, czy formularze dotyczące udzielania zgody są zgodne z przepisami. W szczególności należy zadbać o to, by osoba wypełniająca formularz mogła sama zdecydować, na które cele i zakresy przetwarzania wyraża zgodę, a na które nie chce jej udzielić.

Warto dokładnie przyjrzeć się tej kwestii, bo nawet najbezpieczniejszy system przetwarzania bez odpowiedniej podstawy prawnej będzie niezgodny z przepisami RODO.

4. Rejestr czynności przetwarzania

Większość administratorów danych osobowych będzie zobligowana do prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr taki na żądanie Urzędu Ochrony Danych Osobowych należy udostępniać w celu kontroli realizowanego przez siebie przetwarzania. I choć nie ustalono jego jednej, ustandaryzowanej formy, to RODO wskazuje, że w rejestrze należy ująć informacje:

• identyfikujące administratora

• o celach przetwarzania

• o kategoriach osób i kategoriach ich danych (ze specjalnymi kategoriami, np. danymi dotyczącymi stanu zdrowia łączą się dodatkowe wymagania prawne)

• o współpracy międzynarodowej, transferze danych poza UE

• o środkach technicznych stosowanych w celu zabezpieczenia danych

• o planowanych terminach usunięcia danych (jeśli takowe są oznaczone).

Obowiązek prowadzenia rejestru przetwarzania dotyczy także podmiotów przetwarzających dane osobowe (potocznie zwanych także procesorami danych).

Obowiązek taki nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, jakiego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa. Zatem jeśli twoja firma jest narażona na ryzyko naruszenia praw osób indywidualnych lub przetwarza szczególne kategorie danych, będziesz musiał zadbać o prowadzenie rejestru.

5. Powiadomienia

RODO zapewnia osobom, których dane dotyczą, szereg praw. Administratorzy zaś będą musieli je o tych prawach poinformować. Zazwyczaj należy robić to z chwilą pozyskania danych, chyba że te nie pochodzą bezpośrednio od osoby, której dotyczą; wtedy poinformować należy w „rozsądnym terminie”, nie dłuższym od miesiąca.

W praktyce oznacza to konieczność przeredagowania umieszczanych na stronach internetowych pouczeń, bieżącego informowania o zmianie celu, okresu lub sposobu przetwarzania albo też zmiany podejścia do samej czynności pozyskiwania danych. Już na tym etapie przy niejasnych lub nierzetelnych komunikatach istnieje bowiem ryzyko dopuszczenia się zaniedbań.

Wyjątkiem od tego obowiązku będzie zasadniczo sytuacja, w której osoba indywidualna dysponuje już wspomnianymi informacjami.

6. Prawa osób, których dane dotyczą

Podstawowym uprawnieniem przyznanym osobom indywidualnym przez RODO jest prawo dostępu do ich danych osobowych. Dla administratora oznacza to konieczność umożliwienia im złożenia odpowiedniego wniosku, techniczną możliwość wydobycia z systemu pełnych danych jednej osoby oraz zdolność zrobienia tego w ciągu miesiąca. Jednakże obok tego uprawnienia znajdują się i inne, takie:

• prawo do sprostowania nieprawidłowych danych (i wstrzymania przetwarzania do tego czasu);

• prawo do bycia zapomnianym w przypadku odpadnięcia podstawy prawnej (wiąże się to z obowiązkiem poinformowania współadministratorów, którym przekazaliśmy dane);

• prawo do mobilności danych oznaczające konieczność udostępnienia danych w formacie pozwalającym na wprowadzenie ich do innego systemu (np. pdf);

• prawo do sprzeciwu, gdy przetwarzanie dotyczy marketingu bezpośredniego lub opiera się na uzasadnionym interesie administratora lub wykonywaniu władzy publicznej.

Sprawdź, czy twoja organizacja jest gotowa technicznie i organizacyjnie do realizacji powyższych uprawnień osób indywidualnych.

7. Inspektorzy i ocena skutków

Inspektor Ochrony Danych to osoba (pracownik albo zakontraktowany podmiot zewnętrzny) sprawująca pieczę nad wszystkim, co w danej organizacji dotyczy danych osobowych. Odpowiada za zgodność procedur z prawem, raportuje potencjalne zagrożenia i stanowi pierwszą linię kontaktu dla osób egzekwujących swoje prawa. Jego wyznaczenie jest obowiązkowe dla podmiotów publicznych oraz tych, których działalność wiąże się ze stałym monitorowaniem zmieniających się danych osobowych lub przetwarzaniem na dużą skalę specjalnych kategorii danych. Jednak nawet gdy nie ma takiego obowiązku, jego powołanie będzie istotnym krokiem w stronę zwiększenia bezpieczeństwa.

Ocena Skutków dla Ochrony Danych to natomiast proces ciągłej analizy ryzyka. Należy przeprowadzać je, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych”. I choć jest to pojęcie bez szczegółowej definicji, należy przyjąć, że ocena niezbędna będzie w większości przypadków przetwarzania danych osobowych z wykorzystaniem nowoczesnych technologii, w tym rozwiązań opartych na cloud computingu.

W praktyce oznacza to przygotowywanie dla nowych operacji przetwarzania raportów określających ich podstawę prawną, cele, sposoby, ryzyka oraz środki zaradcze.

8. SaaS i umowy z partnerami biznesowymi

Jako administrator danych ponosisz odpowiedzialność nie tylko za siebie, ale również za podmioty zewnętrzne, które dopuszczasz do przetwarzania. Dlatego tak ważne jest wykorzystanie pozostałych do implementacji miesięcy na przyjrzenie się umowom łączącym cię z kontrahentami.

Sprawdź, w jakim stopniu partnerzy gwarantują własną zgodność z RODO, jak dużą swobodę mają w udostępnianiu danych innym podmiotom przetwarzającym, na ile są w stanie wyjść na przeciw uprawnieniom osób indywidualnych i co stanie się z danymi po zakończeniu waszej współpracy.

Ustal, czy posiadasz partnerów biznesowych z siedzibą poza Unią Europejską. Jeśli przekazujesz dane osobowe do takich krajów, powinieneś o tym poinformować osoby, których dane przetwarzasz, i w sposób szczególny zadbać o zapewnienie bezpieczeństwa tych danych. W pierwszej kolejności sprawdź, jaki poziom ochrony danych osobowych jest wymagany w krajach, w których działają twoi partnerzy biznesowi. W większości przypadków istotne będzie narzucenie kontrahentom spoza Europejskiego Obszaru Gospodarczego (EOG) standardów przetwarzania danych zgodnych z RODO i egzekwowanie przestrzegania tych wymogów.

Jeśli posiadasz licencje na oprogramowanie typu SaaS, w szczególności funkcjonujące na podstawie rozwiązań chmurowych, ustal, czy serwery znajdują się na obszarze EOG lub na terytorium kraju uznanego przez Komisję Europejską za zapewniający adekwatny poziom bezpieczeństwa dla danych osobowych. Fizyczna lokalizacja serwerów przetwarzających dane osobowe jest niezwykle istotna z punktu widzenia odpowiedzialności za przestrzeganie RODO. Niestety, w praktyce wielu dostawców oprogramowania nie jest w stanie udzielić jednoznacznej odpowiedzi, z jakich serwerów korzysta.

To ostatni dzwonek na wynegocjowanie nowych postanowień, wprowadzenie niezbędnych poprawek, zweryfikowanie wiarygodności lub też na zmianę kontrahenta.

9. Czynnik ludzki

W odniesieniu do wielu dziedzin mówi się, że najczęściej zawodzi człowiek. W kwestii ochrony danych nie jest inaczej. Nawet najlepiej zaprojektowane systemy nie zapobiegną zwykłej ludzkiej nieodpowiedzialności. Powinieneś zadbać o przeszkolenie personelu w zakresie podstawowych zasad bezpieczeństwa informacji oraz poinformować, jak brzemienne w skutkach może być kliknięcie w podejrzany link albo np. podłączenie do komputera przypadkowego pendrive'a.

Temat inżynierii społecznej i analizy behawioralnej jest kluczowy z punktu widzenia zapewnienia bezpieczeństwa danych w firmie, zarówno w odniesieniu do danych przetwarzanych w tradycyjnej formie papierowej, jak i danych przetwarzanych elektronicznie.

10. W przypadku włamania

Ustal procedury reagowania na incydenty dotyczące naruszenia bezpieczeństwa danych osobowych. Niezbędne jest ustalenie zasad wewnętrznej komunikacji, w tym przypadku, zebranie danych dotyczących przyczyn naruszenia i zaraportowanie zdarzenia do organu nadzoru w ciągu 72 godzin od wykrycia naruszenia.

W notyfikacji takiej powinien znaleźć się opis strat, przewidywane konsekwencje oraz proponowane lub przedsięwzięte środki zaradcze. Jednakże w przypadku wysokiego ryzyka naruszenia praw i wolności osób, których dane przetwarzasz, będziesz również zobowiązany do bezzwłocznego ich poinformowania.

RODO zostaje na co dzień

Powyższe wskazówki nie wyczerpują tematu wdrożenia RODO w organizacji, ani nie wskazują pełnej listy obowiązków wynikających z tej regulacji. Temat przetwarzania danych, przygotowania systemów informatycznych do wymogów RODO, przeszkolenia personelu, reagowania na zdarzenia prowadzące do naruszenia bezpieczeństwa danych jest niezwykle obszerny, stąd rekomendowane jest indywidualne podejście do każdej organizacji: przeprowadzenie audytu gotowości na wymogi RODO, zidentyfikowanie tzw. compliance gap (tzn. jaka jest rozbieżność między wymogami stawianymi przez RODO a faktycznym stanem gotowości organizacji), przygotowanie dokumentów wymaganych przez RODO oraz przeszkolenie personelu. Wszystkie te działania powinny mieć ścisły związek ze specyfiką struktury konkretnej firmy lub organizacji oraz przedmiotu jej działalności.

Należy przy tym pamiętać, że wdrożenie RODO to nie jest jednorazowy proces. To sposób myślenia o bezpieczeństwie informacji, ze szczególnym uwzględnieniem danych osobowych; przygotowanie systemów informatycznych, dokumentacji tak, by długofalowo, w perspektywie kolejnych lat wprowadzić i ugruntować politykę dbania o bezpieczeństwo danych na co dzień w każdym aspekcie funkcjonowania firmy.

RODO z perspektywy szefów IT

Największe trudności w implementacji RODO

„Jest kilka obszarów, które wprowadzają przepisy RODO, a które okazały się problematyczne. Należy do nich obowiązek informacyjny. Dział prawny przygotował półtorej strony A4 tekstu, który ma być przekazany klientowi. Trudno było wymyślić, w jaki sposób udostępnić klientowi taką ilość informacji i jednocześnie go nie zanudzić. Kolejną kwestią było przygotowanie rejestru danych osobowych, który będzie zgodny z przepisami RODO, a od którego zależą inne procesy. Procesy służące ochronie danych osobowych to anonimizacja i pseudoanonimizacja. Jestem pewien, że problemy z ich implementacją mieliśmy nie tylko my. Szyfrowanie odwracalne i nieodwracalne, bo tak trzeba by było je nazwać po polsku, są trudne w implementacji, szczególnie w środowiskach, gdzie mamy do czynienia z wieloma systemami, które są ze sobą w różny sposób zintegrowane”.

Artur Cieślar, CIO wLink4

„Najwięcej problemów przy zapewnianiu zgodności z RODO sprawiają zdecydowanie ‘możliwość wykazania właściwego zaangażowania w ochronę danych’ oraz brak konkretnych i jasnych wytycznych [...] RODO nie określa konkretnie, co oznacza należyta ochrona danych – pozwala to na duże nadużycia zarówno strony przetwarzającej dane, jak i audytorów”.

Damian Michalczuk, CEO i CTO w MokYok IT

Pozytywne strony RODO

„Dzięki RODO dane klientów zaczną być wreszcie poważnie traktowanie, a znaczenie tych danych wewnątrz firm wzrośnie. Podniesiony zostanie również poziom bezpieczeństwa danych wewnątrz organizacji, co często w mniejszych firmach jest bagatelizowane”.

Przemysław Madejski, COO w Cross Poland

„Razem z implementacją wymogów RODO pracownikom przekazywana jest wiedza. W firmie wzrasta świadomość przetwarzania danych osobowych. Jest to też świetna okazja do ich weryfikacji. Prawidłowo wdrożone polityki bezpieczeństwa i wytyczne są atutem wizerunkowym. Powierzając innym firmom dane naszych klientów, będziemy mieli pewność, że obowiązujące standardy są zgodne z naszymi. Nasz klient jest jednakowo chroniony zarówno u nas, jak i u naszych partnerów. Z poważnym podejściem do ochrony danych osobowych możemy uzyskać przewagę nad konkurencją”.

Artur Cieślar, CIO wLink4

Autorka jest adwokatem. Doradza polskim i zagranicznym klientom w zakresie prawa gospodarczego, zarówno w międzynarodowych kancelariach prawnych, jak i w ramach prywatnej praktyki adwokackiej.