Ostatnimi czasy można zauważyć, że coraz więcej firm wysyła do swoich kontrahentów lub klientów informacje dotyczące: przetwarzania ich danych osobowych, podmiotu, który się tym zajmuje (tzw. ADO), celów przetwarzania itd.
Wszystko to za sprawą uchwalonego w dniu 27 kwietnia 2016 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 tzw. RODO, które w Polsce zaczęło obowiązywać w dniu 25 maja 2018 roku. Celem rozporządzenia jest m.in. ochrona osób fizycznych przed nieuprawnionym przetwarzaniem ich danych osobowych. Wdrożenie u przedsiębiorców odpowiednich rozwiązań mających na celu zapewnienie zgodności funkcjonowania z RODO wymaga podjęcia odpowiednich kroków.
1 krok – audyt
Celem audytu jest ustalenie jak wygląda dotychczasowa ochrona danych osobowych w przedsiębiorstwie/organizacji. Należy m.in. ustalić:
– jakie osoby przetwarzają dane osobowe,
– w jaki sposób,
– jakie dane osobowe są przetwarzane (czy są to dane wrażliwe),
– do czego te dane są wykorzystywane,
– czy podmiot przetwarzający jest uprawniony i na jakiej podstawie do ich przetwarzania,
– czy i jakie systemy/programy komputerowe są używane przy przetwarzaniu,
– jakie jest ryzyko nieuprawnionego dostępu do danych, ich wycieku etc.
2 krok – opracowanie rozwiązań i przygotowanie dokumentacji.
W zależności od wyniku przeprowadzonego audytu, stwierdzonych nieprawidłowości, ryzyk dot. danych osobowych należy określić zakres czynności mających zapewnić przestrzeganie RODO w przedsiębiorstwie/organizacji. W tym celu należy:
– opracować niezbędną dokumentację (upoważnienia, umowy, w niektórych wypadkach rejestr czynności przetwarzania etc.)
– ustalić jakie fizyczne działania należy podjąć, aby przetwarzanie danych było zgodne z RODO (w tym zasada czystego biurka, zamykane na klucz szafy, w których znajdują się dokumenty zawierające dane osobowe etc.)
– jakie działania należy podjąć w związku z przetwarzaniem (np. gromadzeniem) danych za pośrednictwem sieci (sklepy internetowe, newsletter etc.)
3 krok – wdrożenie ustalonych rozwiązań w życie
Po opracowaniu niezbędnej dokumentacji i ustaleniu koniecznych czynności należy wcielić rozwiązania w życie. Nie ma gotowego przepisu na to jak takie wdrożenie miałoby wyglądać albowiem wszystko zależy od specyfiki działania konkretnego podmiotu/przedsiębiorstwa /organizacji/urzędu. Niemniej spośród najczęściej występujących należy wskazać m.in. :
– odpowiednie przeszkolenie personelu danego podmiotu (np. pracowników) pod kątem obowiązków wynikających z RODO,
– udzielenie odpowiednich upoważnień czy też zawarcie umów powierzenia przetwarzania danych osobowych (np. w odniesieniu do biur księgowych którym administrator przekazuje dane swoich pracowników),
– na stronach www na których osoby fizyczne udostępniają swoje dane (np. sklepy internetowy) zawarcie odpowiednich klauzul (informacyjnych lub zgody w zależności od tego jakie czynności będą podejmowane),
– w miejscach monitorowanych powinna znaleźć się odpowiednia informacja,
– należy stworzyć i prowadzić rejestr udzielonych upoważnień, a w niektórych wypadkach rejestr czynności przetwarzania.
Powyższe stanowi przykładowy i znacznie okrojony zakres działań zazwyczaj podejmowanych przy okazji wdrażania RODO. Kompleksowe przedstawienie tak obszernego tematu nie jest możliwe za pośrednictwem jednego blogowego wpisu.
Wsłuchując się w komentarze dotyczące RODO zarówno ze strony Administratorów Danych Osobowych jak również osób fizycznych, których dane są przetwarzane można by rzec, iż po każdej ze stron występują niepotrzebne utrudnienia. Tak czy owak skoro w/w rozporządzenie obowiązuje, a organy państwowe zostały wyposażone w stosowne kompetencje nadzorcze ( w tym do nakładania wysokich kar finansowych – nawet do 20 milionów euro) tym samym nie powinno się zwlekać z podjęciem odpowiednich działań.