Baza wiedzy

Skuteczne wdrożenie wymagań unijnego rozporządzenia o ochronie danych (RODO) - kilka wskazówek

Autor: Jakub WezgrajData dodania: Kategoria: Aktualności, Rozporządzenie ogólne o ochronie danych osobowych (RODO)

Do wdrożenia wymagań RODO każda organizacja musi podejść bardzo indywidualnie

Przepisy ogólnego rozporządzenia o ochronie danych zostały tak skonstruowane, aby każdy Administrator danych był zobligowany do przeprowadzenia indywidualnej oceny w jakim zakresie i na jakim poziomie musi spełniać wymagania RODO. Aby było to możliwe, musi w pierwszej kolejności szczegółowo ustalić charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw i wolności osób fizycznych (praw i wolności wynikających z przepisów RODO).

Takie podejście wyraźnie zaznaczone jest już w Preambule rozporządzenia.  

 Motyw 74 Preambuły:

Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych

Warto zwrócić uwagę na zwrot zgodnie z którym Administrator danych ma obowiązek uwzględniać charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych - ponieważ zwrot ten jest kluczem do całego rozporządzenia. Stanowi on dla Administratora danych punkt odniesienia dla wszelkich procesów przetwarzania danych osobowych. 

Z resztą te kryteria stanowią również podstawę do analizy ryzyka naruszenia praw i wolności osób fizycznych jaką powinien przeprowadzać Administrator danych.   

Motyw 76 Preambuły:

Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.  

Wdrożenie RODO to nie problem wyłącznie Działu Prawnego/Compliance lub Działu IT - to problem całej organizacji

Skoro RODO wymusza na Administratorach danych badanie charakteru, zakresu, kontekstu i celów przetwarzania danych oraz wymaga by uwzględniać ryzyko naruszenia praw i wolności osób fizycznych, to oznacza, że problem ten dotyczy wszelkich komórek organizacyjnych, w których:

  • dochodzi do przetwarzania danych osobowych (zachodzą realne procesy przetwarzania danych) oraz
  • zapadają decyzje lub realizowane są czynności, które mogą mieć realny wpływ na procesy przetwarzania danych osobowych - ponieważ komórki te nawet jeśli same nie biorą udziału w procesie przetwarzania danych (lub ewentualnie biorą w małym zakresie), mimo to mogą mieć realny wpływ na zakres, kontekst i cele przetwarzania danych.

Przykładem komórek organizacyjnych, które same biorą mniejszy udział w przetwarzaniu danych osobowych, ale wpływają w sposób istotny na przetwarzanie danych przez inne komórki są np. Działy Zakupów, które niejednokrotnie silnie wpływają (lub wręcz decydują) o wyborze dostawców różnych usług - w tym takich, które są związane z przetwarzaniem danych osobowych przez zewnętrznego dostawcę. Same więc tych danych nie przetwarzają, ale wpływają na fakt, że dochodzi do udostępnienia lub powierzenia do przetwarzania danych osobowych podmiotom zewnętrznym - a to ma już bezpośredni wpływ na kontekst i cele przetwarzania danych, a także na określone wymogi RODO (np. art. 28 regulujący zasady powierzania danych osobowych przez Administratora danych).

Jest jeszcze kolejna kwestia - Działy Prawne oraz Działy IT postrzegają "rzeczywistość" w zupełnie inny sposób. Działy Prawne skupiają się na kwestiach formalnych, z kolei Działy IT praktycznie wyłącznie na kwestiach związanych ze sferą informatyczną (w tym sensie nie rozróżniają poszczególnych komórek organizacyjnych tylko widzą systemy informatyczne, grupy użytkowników, struktury bazodanowe). Jednocześnie często działy te nie widzą, że poszczególne komórki organizacyjne funkcjonują w trybie "procesowym" - tzn. realizują określone działania jako element większego procesu (np. obsługi klienta, zarządzania zasobami ludzkimi etc.) - i w ten sposób tworzą pewien "cykl życia" danych osobowych w organizacji.  

Skoro RODO wymaga, abyśmy uwzględniali zakres, kontekst i cele przetwarzania danych - to musimy być gotowi do ustalenia cyklu życia danych osobowych w ujęciu procesowym (czyli od momentu ich pozyskania, poprzez ich przetwarzanie w określonych celach i kontekstach biznesowych, aż po ich usunięcie).

Co ciekawe te cele i konteksty przetwarzania danych mogą się zmieniać w czasie.
Przykładowo dane osobowe "Kowalskiego" przetwarza się w zupełnie innych celach na etapie działań przedsprzedażowych (cel marketingowy, zachęcenie do skorzystania z oferty), a zupełnie w innych na etapie świadczenia usługi (np. realizacja umowy, którą Kowalskim z nami zawarł jako klient), a następnie "posprzedażowym" (rozpatrywanie reklamacji, udzielanie świadczeń wynikających z gwarancji lub np. windykacja należności, gdy klient staje się dłużnikiem). W czasie, gdy przedsiębiorstwo będzie przetwarzało dane osobowe "Kowalskiego" w poszczególnych celach, dane te trafią do wielu różnych systemów informatycznych, dokumentów oraz komórek organizacyjnych. Mogą również trafić do podmiotów zewnętrznych, do których dane przedsiębiorstwo wyoutsourcowało niektóre czynności (np. biuro obsługi klienta, call center, firmę windykacyjną etc.). Jeżeli więc nie poznamy całego procesu, nie będziemy w stanie uwzględnić wszystkich istotnych kryteriów - w tym kontekstu i celu przetwarzania danych.

Potrzebny jest lider, który poprowadzi zarówno proces audytu jak i wdrożenia wymagań RODO

Tak różne punkty widzenia poszczególnych działów (w tym Działu Prawnego i IT), a także fakt że dane osobowe w ramach swojego "cyklu życia" przepływają przez bardzo wiele komórek organizacyjnych w ramach realizowanych procesów biznesowych powodują, że organizacja musi wyznaczyć osobę, która będzie liderem projektu.

Taki lider powinien w szczególności:

  • zebrać „punkty widzenia” poszczególnych komórek organizacyjnych oraz posiadaną przez nie wiedzę w jedną całość,
  • stworzyć mapę procesów mających wpływ na przetwarzanie i ochronę danych osobowych na poziomie całej organizacji (a nie wyłącznie poszczególnych komórek organizacyjnych),
  • przypisać wymagania RODO do poszczególnych procesów (uwzględniając charakter, kontekst i cele przetwarzania danych w poszczególnych procesach),
  • ustalić, które wymagania RODO oraz w jakich przypadkach i na jakim poziomie mają zastosowanie wobec danej organizacji i sposobu przetwarzania przez nią danych osobowych,
  • zaproponować konkretne rozwiązania wdrożeniowe (naprawcze),
  • koordynować proces wdrożenia rozwiązań naprawczych.

Jak widać, osoba lidera musi posiadać szereg kompetencji (zarówno o charakterze merytorycznym jak i organizacyjnym), aby była w stanie osiągnąć cele określone powyżej. Z drugiej strony bardzo ryzykownym byłoby pozostawienie procesu dostosowania do wymagań RODO osobom kierującym poszczególne komórki organizacyjne - takie podejście najprawdopodobniej doprowadziłoby do bardzo zróżnicowanego poziomu realizacji wymagań prawnych w każdej z komórek. Jest więc potrzebny ktoś, kto skoordynuje ten proces na poziomie całej organizacji i zapewni jednolite podejście.

Co ciekawe już samo ogólne rozporządzenie o ochronie danych osobowych sugeruje jaka funkcja w organizacji mogłaby zapewnić takie podejście. Tą funkcją jest inspektor ochrony danych osobowych, a więc następca dzisiejszej funkcji Administratora Bezpieczeństwa Informacji. 

Nie wszystkie wymagania RODO będą musieli stosować wszyscy i na takim samym poziomie

Wszystko bowiem zależy od charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych przez konkretną organizację oraz jej oceny ryzyka naruszenia praw i wolności osób fizycznych.

Dopiero wówczas gdy dobrze znamy powyższe czynniki w naszej organizacji, możemy ocenić na ile poszczególne wymagania RODO nas dotyczą. Ogólne rozporządzenie wskazuje bowiem wiele wymogów, których obowiązek spełnienia uzależniony jest między innymi od:

  • podstawy prawnej przetwarzania danych osobowych (w szczególności czy dane są przetwarzane w oparciu o udzieloną zgodę przez osobę, której te dane dotyczą),
  • sposobu i technik przetwarzania danych (w szczególności czy dane są przetwarzane w sposób zautomatyzowany - za pomocą systemów informatycznych),
  • celu i kontekstu przetwarzania danych,
  • sposobu pozyskiwania danych,
  • zakresu i skali przetwarzania danych.

Przykładem takie wymogu prawnego, który uzależniony jest między innymi od podstawy prawnej przetwarzania danych, którą stosujemy jest słynne już "prawo do bycia zapomnianym", a więc prawo żądania przez podmiot danych usunięcia jego danych osobowych przez Administratora. W praktyce z tego prawa osoby fizyczne będą mogły skorzystać głównie wówczas gdy Administrator danych przetwarzał ich dane na podstawie udzielonej zgody i zgoda ta została cofnięta przez podmiot danych. W takich wypadkach Administrator danych, o ile nie dysponuje inną podstawą prawną do przetwarzania danych, powinien je niezwłocznie usunąć. Powinien o potrzebie usunięcia danych powiadomić również inne podmioty, którym te dane ewentualnie udostępnił.

Jeżeli konkretna organizacja dokładnie wie, na jakich podstawach prawnych przetwarza dane osobowe w ramach poszczególnych celów i procesów biznesowych, bez problemu jest w stanie przewidzieć w jakich przypadkach podmiot danych może ewentualnie skorzystać z tego uprawnienia. Może więc oszacować ryzyko potrzeby spełnienia tego wymogu i zaplanować to w swoich procesach.

Dzięki temu spółki produkcyjne, które głównie przetwarzają dane osobowe kadrowe powinny sobie zdawać sprawę, że np. zatrudniani przez nie pracownicy mają bardzo ograniczoną (jeśli wręcz nie iluzoryczną) możliwość skorzystania z prawa do bycia zapomnianym - ponieważ ich pracodawca ma obowiązek przetwarzać ich dane osobowe w ramach stosunku zatrudnienia (prowadząc między innymi teczki osobowe).

Z kolei podmioty przetwarzające dane na dużą skalę w celach marketingowych muszą być świadome tego, że bazując na zgodzie jako podstawie prawnej przetwarzania danych są wysoce narażone na ryzyko stosowania "prawa do bycia zapomnianym".

Powyżej przytoczyłem dla zobrazowania bardzo proste przykłady - praktyka dostarcza zazwyczaj dużo bardziej skomplikowane stany faktyczne, dlatego każdy podmiot musi uwzględniać swoją indywidualną charakterystykę.

Bez audytu nie mamy szans na dostosowanie do RODO

Dotychczasowa treść niniejszego artykułu prowadzi do jeszcze jednego wniosku. Bez przeprowadzenia kompleksowego audytu nie mamy praktycznie szans na skuteczne wdrożenie wymagań RODO.

Audyt ma w pierwszej kolejności służyć ustaleniu aktywów, które podlegają ochronie prawnej na gruncie RODO. W tym kontekście ogólne rozporządzenie o ochronie danych bardzo precyzyjne wskazuje, że chodzi o dane przetwarzane w: zbiorach danych oraz systemach informatycznych.  

Aby docelowo było możliwe skuteczne wdrożenie wymagań RODO, przeprowadzenie audytu ma nam ponadto zagwarantować "punkt odniesienia" dla dalszych decyzji i działań, musi więc służyć osiągnięciu następujących celów:

  • ustalenie aktywów podlegających ochronie prawnej z zakresu ochrony danych osobowych (zbiory danych + systemy),
  • ustalenie zasad przetwarzania danych (charakter, zakres, kontekst i cele) w poszczególnych zbiorach i systemach,
  • analiza modelu biznesowego oraz procesów biznesowych związanych z czynnościami przetwarzania danych osobowych lub mających na nie wpływ,
  • weryfikacja poszczególnych wymagań RODO pod kątem ustalenia, które z nich i w jakich przypadkach mogą mieć zastosowanie w danej organizacji,
  • wskazanie aktualnego poziomu spełnienia wymagań oraz obszarów niezgodności,
  • przedstawienie rekomendacji naprawczych z omówieniem możliwego sposobu ich realizacji w praktyce,
  • przeprowadzenie oceny ryzyka.
Działaj w oparciu o uzgodniony plan

Wdrożenie wymagań RODO to proces zarządzania zmianą w organizacji. Na ile duża będzie to zmiana, zależy przede wszystkim od wyników przeprowadzonego audytu oraz podjętych decyzji odnośnie tego w jakim zakresie organizacja dostosuje się do wymagań ogólnego rozporządzenia o ochronie danych oraz za pomocą jakich środków i rozwiązań ten proces przeprowadzi.

Bez wątpienia należy też brać pod uwagę włączenie pracowników w proces zmiany. To ostatecznie właśnie poszczególni pracownicy będą stosować (lub nie) rozwiązania zgodne z RODO.

Z powyższych względów procesu implementacji RODO nie należy traktować jako krótki, jednorazowy projekt a raczej wielofalowe, rozłożone w czasie działanie. Działanie, które musi rozpocząć się od audytu, a dopiero po nim należy ustalać dalsze harmonogramy działań (w tym implementacji poszczególnych wymagań).

Dlatego też kluczem do sukcesu jest uzgodnienie wieloetapowego planu, który następnie będzie komunikowany pracownikom. Poszczególne działania w ramach planu powinny z kolei być "rozbijane" na mniejsze harmonogramy, tak aby było możliwe skupienie organizacji w konkretnym przedziale czasu na aktualnie realizowanych czynnościach. W ramach realizacji poszczególnych czynności mogą powstawać dedykowane zespoły projektowe (np. lider + przedstawiciele komórek organizacyjnych, które są objęte w danym okresie działaniami audytowymi, a następnie wdrożeniowymi).

Ważne jest jednak by całość prac "spinał" jeden lider, który będzie je koordynował. Taka osoba jest również odpowiedzialna za raportowanie o postępach w pracach do osób zarządzających organizacją.

Więcej artykułów dotyczących RODO

Podstawowe obowiązki wynikające z RODO (GDPR) - część 1 (TUTAJ) oraz część 2 (TUTAJ)

Inspektor Ochrony Danych - w jakich przypadkach jego powołanie będzie obowiązkowe? (KLIKNIJ)

Nowe zasady powierzania danych osobowych na gruncie RODO (GDPR) (KLIKNIJ)

Nowe zasady odpowiedzialności za naruszenie RODO (GDPR) w tym sankcje finansowe (KLIKNIJ)

Projekt nowej ustawy o ochronie danych osobowych przedstawiony w marcu 2017 r. przez Ministerstwo Cyfryzacji jako uzupełnienie wymagań RODO (KLIKNIJ)

Zadaj pytanie  lub  Zadzwoń: 600 677 026

administrator danychaudyt ochrony danych osobowychGDPRJakub Wezgrajochrona danych osobowychODOekspertRODOrodo prezentacjarodo wdrożenierodo wymaganiarozporządzenie GDPRrozporządzenie RODOunijne rozporządzenie o ochronie danychwdrożenie gdprwdrożenie rodowymagania rodo

Wróć

Do góry

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z polityką cookies.