13 kroków do dostosowania organizacji do RODO

Porozmawiaj
z ekspertem
systemu
RODO Utility
by Asseco

+48 728 325 752

13 kroków do dostosowania organizacji do RODO

Przygotowanie organizacji do wypełniania obowiązków nakładanych przez RODO to z pewnością nie lada wyzwanie – jednak nie niemożliwe do osiągnięcia. W niniejszym artykule przedstawiamy propozycję 13 kroków, które należy podjąć w celu zapewnienia prawidłowej ochrony przetwarzanym danym osobowym. Taki podział na zadania do wypełnienia na pewno pozwoli uporządkować prace niezbędne do wykonania w toku przygotowań i ułatwi zarządzanie zmianami jako procesem.

Słowo „proces” jest tutaj kluczowe, ponieważ zakończenie projektu dostosowania organizacji do RODO nie oznacza, że osiągnięto stan idealny i nic już nigdy nie trzeba będzie zmieniać. Wręcz przeciwnie, ze względu na zmieniającą się rzeczywistość każda organizacja będzie musiała dostosowywać swoje procedury do zmian w otoczeniu. Z biegiem czasu konsumenci i kontrahenci będą coraz bardziej świadomi swoich praw; będzie się też kształtowała praktyka stosowania przepisów RODO zarówno przez organ nadzorczy, jak i sądy. Pamiętajmy także o postępie technicznym, w wyniku którego trzeba będzie weryfikować skuteczność stosowanych środków ochrony danych osobowych.

Krok 1Powołanie zespołu odpowiedzialnego za RODO

Prace nad dostosowaniem do RODO należy zacząć od powołania zespołu projektowego – zależnie od intensywności przetwarzania danych osobowych przez daną organizację może on liczyć od jednej do kilku osób. Z pewnością zespół musi mieć poparcie zarządu i niezbędne umocowanie decyzyjne.

Krok 2Inwentaryzacja procesów przetwarzania danych osobowych

Aby móc odpowiednio zinwentaryzować procesy biznesowe, w których przetwarzane są dane osobowe,
pracownicy muszą najpierw odpowiedzieć na pytania zawarte w skierowanej do nich ankiecie. Ważne jest,
aby ankieta pozwoliła na zidentyfikowanie czynności przetwarzania, to jest aby pozwalała na zidentyfikowanie
poszczególnych przetwarzań jednolitych ze względu na cel. Przykładowo: czynność przetwarzania będzie
stanowić zestaw wszelkich działań w całym procesie zarządzania karierą pracownika, który ma na celu wykonanie
postanowień umowy o pracę. W praktyce, w związku z tą czynnością, pracownicy działu HR zbierają i modyfikują
stanowiące pewną całość dane identyfikujące pracownika. Jeśli z kolei celem jest wykonanie postanowień umowy
o pracę w zakresie obliczania wynagrodzeń i rozliczania związanych z tym zobowiązań podatkowych czy ZUS-u,
to będziemy mieli do czynienia z kolejną czynnością przetwarzania.

Krok 3Utworzenie rejestru czynności przetwarzania danych osobowych

Zgromadzone w ankiecie odpowiedzi pozwolą na wskazanie czynności przetwarzania i zdefiniowanie ich rejestru, który organizacja – jako administrator danych osobowych – jest zobowiązana prowadzić. Najważniejszym elementem dalszej analizy czynności przetwarzania jest przypisanie do każdej z nich podstawy prawnej – zezwolenia dla administratora do przetwarzania danych osobowych. W przypadku, gdy takiej podstawy nie sposób przypisać, to już na tym etapie można przesądzić o konieczności niezwłocznego zaprzestania danej czynności przetwarzania. Jest to ważne choćby ze względu na ewentualność wymierzenia kary za przetwarzanie danych bez podstawy prawnej. Dla każdej czynności przetwarzania opisuje się ponadto, czyje dane są przetwarzane i w jakim zakresie, a także jak długo będą przechowywane, oraz (w skrócie) jakie środki organizacyjne – proceduralne i techniczne (najczęściej systemy informatyczne) – firma stosuje, aby zapewnić ochronę przetwarzanym danym. Taki opis służy do bezpośredniego zasilenia rejestru czynności przetwarzania. Rejestr ten pozwala na jak najwcześniejsze powiązanie procedur firmy z zapisami w bazie danych, co ułatwi późniejszą eksploatację informatycznego systemu wspierania administratora w rozliczalności. Rozliczalność bowiem jest jednym z podstawowych wymagań RODO. Określone na tym etapie terminy przechowywania danych – okresy retencji – wskażą kiedy należy zaprzestać przetwarzania danych, co jest również istotne z perspektywy systemu informatycznego ze względu na kwestię zdefiniowania powiadomień przypominających administratorowi o upływie tych terminów, co pozwoli mu na podjęcie odpowiedniej reakcji.

Krok 4Utworzenie rejestru kategorii czynności przetwarzania danych osobowych

W przypadku gdy nasza firma przetwarza dane osobowe innego administratora
na jego zlecenie – tj. pełni rolę podmiotu przetwarzającego – należy dodatkowo utworzyć
i prowadzić rejestr kategorii czynności przetwarzania. Stanowi on listę wszystkich
administratorów, którzy powierzyli nam przetwarzanie swoich danych osobowych
w ich imieniu.

Krok 5Przeprowadzenie oceny skutków dla ochrony danych objętych czynnościami przetwarzania

Dla tych przetwarzań, dla których w toku projektu stwierdzono występowanie
wysokiego ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane
– tj. podmiotów danych – przeprowadza się ocenę skutków planowanych
operacji przetwarzania dla ochrony danych (DPIA). Powstały dokument stanowi
część polityki ochrony danych i stanowi dla organu nadzorczego dowód
na prawidłowe wykonanie odpowiedniego przepisu RODO.

Krok 6Utworzenie rejestru uprawnień dostępowych operatorów

Ze względu na konieczność strzeżenia przez administratora prywatności podmiotów danych – pracowników,
członków ich rodziny, pracowników swoich kontrahentów, itp. – powinien on zapewnić sobie możliwość kontroli,
kto i w jakim okresie był uprawniony do przetwarzania takich czy innych danych osobowych w takim a takim
zakresie. W związku z tym administrator powinien utrzymywać odpowiednią dokumentację, w której odnotowuje
uprawnienia dostępowe operatorów programów komputerowych lub innych, bardziej tradycyjnych narzędzi
przetwarzania danych. Dokumentacja tego rodzaju, zebrana ze wszystkich eksploatowanych w firmie systemów,
składa się na rejestr uprawnień operatorów, który można zaprezentować w postaci raportu. Taki raport stanowi
dowód rozliczalności administratora – pokazuje, że panuje on nad dostępem do danych osobowych w swojej firmie
i że ogranicza go do niezbędnych przypadków.

Krok 7Modyfikacja i dostosowania polityki ochrony danych osobowych

Uważa się, że treść dokumentacji polityki ochrony danych osobowych powinna zawierać opis procesów
przetwarzania danych osobowych, ocenę skutków (DPIA), rejestr czynności przetwarzania, politykę
bezpieczeństwa danych oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych. RODO nie narzuca formy czy zawartości tej dokumentacji, a więc administrator może
prowadzić ją w dowolny sposób, byle wynikało z niej, jak ma działać organizacja, aby zapewnić ochronę danych
osobowych w stopniu adekwatnym do zagrożeń. Zachęcamy, aby dokumentację taką stanowiła właśnie
polityka – tj. zbiór zasad – ochrony danych osobowych.

Krok 8Wdrożenie technicznych i organizacyjnych środków ochrony danych osobowych

Po wykonaniu opisanych do tej pory kroków przychodzi pora na faktyczne wdrożenie zasad objętych
polityką w procesach organizacji. Wymaga to przekazania personelowi nowej treści procedur oraz zastosowanie
ustalonych w polityce środków technicznych, najczęściej związanych z działaniem systemów komputerowych.

Krok 9Wytworzenie i wdrożenie treści dokumentów wiążących prawnie

Równolegle do wdrażania technicznych i organizacyjnych środków ochrony danych osobowych, administrator
powinien zadbać o przygotowanie i wdrożenie do stosowania treści dokumentów wiążących prawnie.
Mamy tu na myśli np. klauzule informacyjne czy ochronne. Te pierwsze wykorzystuje się w komunikacji z
podmiotem danych. Co istotne, muszą być one sporządzone językiem jasnym i prostym, ułatwiającym odbiorcy
zrozumienie treści, a więc nie mogą to być bezosobowe i suche formułki prawnicze. W wyniku zapoznania się
z nimi podmiot danych musi uświadomić sobie ryzyka, zasady, zabezpieczenia i prawa jakie ma w związku z
przetwarzaniem jego danych przez naszą organizację.

Te drugie – ochronne – zabezpieczają nasz interes w umowach o przetwarzanie danych, jeśli zawieramy takie umowy z podmiotami przetwarzającymi dane osobowe, dla których my jesteśmy administratorem.

Krok 10Zdefiniowanie i wdrożenie procedur obsługi żądań podmiotów danych

Ze względu na konieczność zapewnienia prawidłowej komunikacji z podmiotami danych, należy zdefiniować i wdrożyć
procedury obsługi żądań. Aby udokumentować ścieżkę realizacji żądania podmiotu danych, wygodnie jest prowadzić
rejestr żądań. Dzięki rejestrowi administrator może czuwać nad dochowaniem ustalonych w polityce ochrony
terminów realizacji żądań.
Zwróćmy uwagę, że żądanie podmiotu danych uzyskania dostępu do przetwarzanych danych i uzyskania ich kopii
może okazać się bardzo pracochłonne bez wspomożenia się narzędziem informatycznym. Wymaga bowiem zbierania
żądanych informacji ze wszystkich miejsc w firmie, w których dochodzi do przetwarzania danych osobowych,
a następnie zaprezentowania ich w zrozumiałej dla człowieka postaci i przesłania ich np. pocztą elektroniczną.

Krok 11Utworzenie rejestru naruszeń ochrony danych osobowych

Na tym etapie należy przewidzieć, w jaki sposób będziemy dokumentować przypadki naruszeń ochrony danych
osobowych. Dokumentację taką stanowią kolejne pozycje rejestru naruszeń, w którym administrator
odnotowuje okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Prowadzenie rejestru stanowi
przejaw dochowania przez administratora staranności w kontrolowaniu zabezpieczeń powierzonych jego pieczy
danych osobowych i jako takie może być użyte jako wykazanie przestrzegania przepisów RODO.

Krok 12Przeprowadzenie szkolenia dla pracowników

Równolegle z powyższymi działaniami można przygotowywać treść szkoleń dla personelu
i rozpocząć te szkolenia niezależnie od stanu zaawansowania projektu.

Krok 13Wdrożenie i stosowanie zasad privacy by design i privacy by default

Na zakończenie należy podkreślić, że w każdym przypadku, gdy projektuje się proces biznesowy,
musimy brać pod uwagę spełnienie dwóch zasad ochrony danych, a mianowicie:

  • ochrony danych w fazie projektowania (privacy by design)
  • domyślnej ochrony danych (privacy by default).

Pierwsza z wymienionych zasad nakłada na administratora obowiązek stosowania takich środków ochrony danych – i technicznych, i organizacyjnych – które zapewnią, że:

  • dane będą przetwarzane w oparciu o podstawę prawną,
  • podmiot danych będzie mógł zapoznać się bez przeszkód i w zupełności z jego danymi,
  • przetwarzane dane są ograniczone do tego, co niezbędne do osiągnięcia celów, dla których są przetwarzane.

Druga z nich wymaga od administratora stosowania takich środków ochrony danych – i technicznych, i organizacyjnych – które zapewnią,
że uzyskanie dostępu do danych osobowych przez osobę przetwarzającą wymaga aktywnego działania administratora – np. odpowiedniej
treści opisu obowiązków pracownika, ustalenia parametrów dostępowych do aplikacji, itp., przy czym bez takiego aktywnego działania
dostęp jest domyślnie niemożliwy.

Pracochłonność i koszty związane z wykonywaniem niektórych z wyżej wymienionych działań można zredukować poprzez zastosowanie aplikacji RODO Utility by Asseco.

DOWIEDZ SIĘ WIĘCEJ O ROZWIĄZANIU