Drugi wpis z cyklu CZAS NA RODO poświęcamy Administratorowi Danych Osobowych (ADO)
Niniejszy wpis ma charakter praktycznego poradnika i pozwoli w zależności od etapu – zaplanować, uporządkować lub zweryfikować kompletność wdrożenia RODO w prowadzonej przez Administratora działalności gospodarczej, spółce lub innym podmiocie, na którym ciąży obowiązek wdrożenia RODO.
TO DO LIST
RODO daje Administratorom Danych Osobowych wytyczne, dotyczące tego w jaki sposób dostosować procedury dotyczące przetwarzania danych osobowych w ramach działalności prowadzonej przez ADO, celem zapewnienia należytego poziomu bezpieczeństwa przetwarzanych danych. RODO kładzie nacisk na zasadę przejrzystości, która na zewnątrz przejawia się w realizowaniu szeregu obowiązków informacyjnych względem klientów jak i kontrahentów, natomiast w ramach danego przedsiębiorstwa lub spółki znajduje zastosowanie do określenia odpowiednich procedur lub zastosowania określonych rozwiązań, a w ich braku do przeprowadzenia stosownych analiz lub opinii, które będą stanowiły podstawię do przyjęcia czy w ramach prowadzonej działalności określone rozwiązanie jest konieczne czy nie.
1. W świetle powyższego, wprowadzając nowe zasady ochrony danych osobowych na pierwszym etapie każdy ADO powinien przeprowadzić wewnętrzny audyt swojego przedsiębiorstwa lub spółki i ocenić czy stosowane dotychczas procedury, posiadane zabezpieczenia techniczne są skuteczne i wystarczające, a co za tym idzie, czy przetwarzanie danych osobowych odpowiada wymogom RODO. Przeprowadzenie audytu otwarcia wdrożenia sprowadzające się do zbadania wymogów formalno-prawnych, treści stosowanych klauzul, zgód, procedur i zabezpieczeń odnoszących się do danych osobowych, powinno w efekcie umożliwić wykonanie analizy ryzyka. Analiza ryzyka powinna odpowiadać ziszczeniu się hipotetycznie najgorszego scenariusza w zakresie zabezpieczenia danych osobowych w ramach prowadzonej działalności i umożliwiać tym samym stworzenie planu postępowania z ryzykiem i ocenę skutków dla ochrony danych osobowych – innymi słowy analiza ryzyka powinna wskazywać na te obszary przetwarzania danych osobowych u określonego przedsiębiorcy, w ramach których istnieje ryzyko naruszenia tych danych, a efektem tej analizy powinien być plan postępowania z ryzykiem, pozwalający w maksymalnym możliwym zakresie ryzyko to zminimalizować.
2. Każdy Administrator Danych Osobowych ma w świetle RODO obowiązek stworzenia wytycznych technicznych dotyczących stosowanych metod zabezpieczenia przetwarzania danych osobowych, w tym wytycznych dotyczących dostosowania systemów informatycznych. Celowa w tym zakresie jest ścisła współpraca z informatykiem, tak aby maksymalnie zabezpieczyć dane osobowe przetwarzane przez konkretnego ADO w cyberprzestrzeni.
3. Opracowanie rejestru czynności przetwarzania danych będzie dla wielu ADO obowiązkowe. Art. 30 us.t 5 RODO przewiduje wyjątek w tym zakresie jedynie dla przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, pod warunkiem jednak że przetwarzanie, którego dokonują, nie może powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny lub nie obejmuje szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
4. Kolejnym krokiem powinno być przeprowadzenie analizy w zakresie konieczności powołania Inspektora Ochrony Danych (IOD), którego wyznaczenie jest obligatoryjne gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność Administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
5. Każdy ADO powinien stworzyć rejestr naruszeń ochrony danych osobowych, a także ewidencję żądań dotyczących realizacji praw osób, których dane dotyczą. Jednocześnie, powinien opracować wewnętrzne procedury zgłaszania naruszeń, tworzenia kopii zapasowych, usuwania danych i realizacji prawa do bycia zapomnianym, a także realizacji prawa do przenoszenia danych osobowych, w miarę możliwości technicznych danego Administratora.
6. Wskazane w punkcie powyżej procedury i zasady, powinny zostać zebrane w wewnętrznej Polityce Ochrony Danych Osobowych. Rejestry, wzory upoważnień i wytyczne techniczne mogą zostać ujęte jako załączniki do Polityki Ochrony Danych Osobowych, co pozwoli zachować przejrzystość i kompletność dokumentacji wymaganej przepisami RODO.
7. Ostatnim krokiem wieńczącym cały proces wdrożenia RODO powinno być przeprowadzenie szkolenia dla pracowników lub współpracowników ADO, w zakresie wprowadzonych procedur i wytycznych, celem zabezpieczenia procesu przetwarzania danych osobowych.
OBOWIĄZKI ADMINISTRATORA WZGLĘDEM PRACOWNIKÓW I KLIENTÓW
Prawidłowe wdrożenie RODO powinno zagwarantować bezpieczeństwo wszelkich przetwarzanych danych osobowych przez Administratora. Chodzi więc nie tylko o dane osobowe pracowników i współpracowników ADO, lecz również o dane osobowe klientów.
Dostosowanie procedur i odhaczenie każdego punktu z wyżej opisanej listy zadań pozwoli na spełnienie tylko jednej płaszczyzny dostosowania procesów przetwarzania danych osobowych do zgodności z prawem, w tym w szczególności przepisami RODO. Druga płaszczyzna wdrożenia sprowadza się do spełnienia przez ADO szeregu obowiązków informacyjnych wobec aktualnych i potencjalnych pracowników, a także aktualnych i nowych klientów.
Poinformowanie pracowników i współpracowników o zakresie przysługujących im praw, może przybrać formę szkolenia, dopuszczalne jest również odebranie od pracowników stosownych oświadczeń. Ponadto, koniecznym jest upoważnienie pracowników do przetwarzania danych osobowych, o ile do takiego dochodzi, w ramach wykonywania przez nich obowiązków pracowniczych.
Jednocześnie, każdy ADO powinien poczynić niezbędne kroki celem poinformowania swoich klientów o przysługujących im uprawnieniach (między innymi poprzez zamieszczenie stosownych klauzul na stronie internetowej, udostępnienie informacji w sekretariacie, opublikowanie polityki prywatności),
a z podmiotami, z którymi współpracuje w ramach świadczonych przez siebie usług powinien podpisać umowy powierzenia przetwarzania danych osobowych, o ile w związku ze współpracą z danym podmiotem dochodzi do powierzenia przetwarzania danych osobowych.
ROZLICZALNOŚĆ
RODO jest regulacją nastawioną realizację przez ADO nadrzędnego celu, jakim jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych, z jednoczesnym wypełnieniem obowiązków informacyjnych względem osób, których dane dotyczą. Ponadto, RODO kładzie wyraźny nacisk na zasadę rozliczalności, zgodnie z którą Administrator Danych Osobowych jest odpowiedzialny za przestrzeganie przepisów i zasad wprowadzonych przez RODO oraz musi być w stanie wykazać ich przestrzeganie. Stąd w przypadku podjęcia decyzji o niezastosowaniu określonego rozwiązania proponowanego przez RODO – przykładowo niepowołania Inspektora Ochrony Danych Osobowych, ADO powinien dysponować opinią o braku konieczności zastosowania danego rozwiązania, pozostał ślad po przeprowadzonej w tym zakresie analizie i dokonanej ocenie.
CZAS NA RODO. KONTYNUACJA
Niniejszy wpis jest drugim wpisem z cyklu „CZAS NA RODO”, który będzie kontynuowany, celem pełniejszego przybliżenia zagadnień, regulowanych przez Rozporządzenie. Zapraszamy do bieżącego śledzenia cyklu „CZAS NA RODO” na stronie internetowej naszej Kancelarii, dostępnej pod adresem: www.wskp.pl.
Ponadto, jeśli potrzebują Państwo porady prawnej lub pomocy we wdrożeniu RODO zapraszamy również do kontaktu z Kancelarią WSKP pod adresem mailowym [email protected] lub nr telefonu: +48 577 533 499 lub stacjonarnie w Krakowie.