4 kluczowe elementy wdrożenia RODO w organizacji
25 maja 2018 roku weszło w życie rozporządzenie RODO (GDPR), które dotyczy wszystkich Państw Unii Europejskiej. Wiele przepisów z poprzednio funkcjonującej w Polsce ustawy (UoDO) uległo zmianie. Wcześniejsza ustawa miała charakter typu „compliance” czyli jasno określała prawa i obowiązki przetwarzania danych oraz ryzyko jakie ponosi ich procesor i administrator. RODO zmienia ten charakter ustawy na tzw. ”risk management” czyli zrzuca odpowiedzialność na administratora za nieodpowiednie zabezpieczanie danych. To duże wyzwanie, z którym muszą się zmierzyć wszystkie osoby przetwarzające dane w dużych organizacjach. Poniżej przedstawiamy 4 kluczowe elementy, na które należy zwrócić uwagę wdrażając RODO w swojej firmie.
1. Identyfikacja obszarów
Zarówno stare przepisy jak i te nowe, związane z RODO, skupiają się na ochronie danych osobowych w tzw. zbiorach danych. Pojawia się zatem pytanie – czym jest zbiór? Według RODO zbiorem jest taki zestaw danych osobowych, który posiada 2 cechy: dostępność oraz uporządkowanie. Cechy te przejawiają się w ten sposób, że dane osobowe, które stanowią zbiór, muszą być usystematyzowane i możliwe do odszukania na podstawie określonych kryteriów. Dane pozyskiwane incydentalnie lub sporadycznie nie podlegają zasadom przetwarzania jeżeli nie są zbiorem. Przykładowo nie będzie zbiorem danych osobowych segregator z potwierdzeniami wysłania listów poleconych uporządkowany chronologicznie- według daty wysyłki (mimo, że można w nim odnaleźć dane osobowe), ponieważ nie porządkuje on danych osobowych według kryteriów dotyczących tych danych. Jeśli natomiast uporządkujemy potwierdzenia wysłania według imienia i nazwiska adresata, to takie zestawienie będzie już tworzyło zbiór.
W przypadku wątpliwości, czy dane zestawienie należy uznać za zbiór danych, najlepiej odpowiedzieć sobie na pytanie, czy kryterium porządkujące dane pozwala na łatwy dostęp do informacji odnoszących się do konkretnej osoby. Administrator powinien więc zidentyfikować kluczowe zbiory danych, które przetwarzane są w organizacji, zwracając przy tym uwagę na 2 istotne kwestie:
- Jakiego typu dane są przetwarzane (przykłady typowych zbiorów: pracownicy, kandydaci, klienci, dostawcy, dane marketingowe)
- Czy dane przetwarzane odpowiadają zasadzie minimalizacji przetwarzania danych osobowych (oznacza to, że w poszczególnych zbiorach mogą być przetwarzane tylko dane osobowe, które są niezbędne do celu ich przetwarzania. Więc jeżeli nie ma uzasadnionego celu dla przetwarzania np. informacji o niekaralności to pracodawca nie ma prawa ich żądać. Wyjątkami w tym wypadku są np. banki, które mogą żądać tego typu informacji, ponieważ operują dużymi środkami finansowymi.
Nie każde przetwarzanie danych podlega przepisom RODO, ale w takim wypadku można rozważyć, czy dane te nie są chronione zasadą poufności. Ochrona poufności to ochrona danych poza zbiorami – np. dane klienta na umowie. Jeżeli na umowie występuje osoba fizyczna, nie prawna, to jej dane są chronione, ale takiej osobie nie przysługują już prawa takie jak prawo do zapomnienia czy prawo do przeniesienia.
2. Edukacja osób przetwarzających dane
Drugim kluczowym elementem wdrożenia RODO w firmie jest odpowiednie przeszkolenie osób odpowiedzialnych za przetwarzanie danych. W momencie ewentualnego wycieku danych, jeżeli okaże się, że upoważniony pracownik nie był odpowiednio przeszkolony, odpowiedzialność za to ponosi administrator, czyli najczęściej sam pracodawca. Dlaczego? Ponieważ to właśnie na polecenie pracodawcy dane są przetwarzane. Pracodawca powinien zapewnić szkolenia swoim pracownikom, zarówno z ogólnych zasad przetwarzania danych jak i tych szczegółowych, charakterystycznych dla danej organizacji (zasady tworzenia loginów, haseł do logowania, itp.)
Szkolenia możemy podzielić na:
- wstępne, po których osoba uzyska uprawnienie do przetwarzania danych
- okresowe, przypominające wiedzę po czasie
Szkolenia mogą być przeprowadzane w dowolnej formie (e-learning, indywidualne zajęcia, itp.). Powołany w firmie Inspektor Ochrony Danych Osobowych (IOD) powinien nadzorować proces szkoleń. Zazwyczaj też do jego obowiązków należy przyznawanie uprawnień osobom do konkretnych zbiorów danych. Nie jest to jednak reguła, bowiem administrator ma prawo przerzucić odpowiedzialność za wydawanie upoważnień komuś innemu. Uprawnienia do zbiorów danych muszą być nie tylko skrupulatnie przyznawane, ale także na bieżąco ewidencjonowane, aby IODa miał do nich stały dostęp i mógł nimi zarządzać.
Ewidencję upoważnień do zbiorów danych znacznie łatwiej prowadzi się, jeżeli wspiera nas w tym nowoczesny system informatyczny.
– mówi Katarzyna Jaśniewicz, Product Manager z firmy Unit4 Polska, która jest producentem oprogramowania dla biznesu marki Teta.
Do oprogramowania Teta ERP, Teta HR i Teta EDU uruchomiliśmy dodatek RODO Advanced, w którym znajdują się m.in. funkcjonalności znacznie ułatwiające prowadzenie ewidencji upoważnień, takie jak: rejestrowanie upoważnień dla osób przetwarzających dane, szybki dostęp do aktualnych upoważnień oraz standaryzacja opisów upoważnień do przetwarzania danych we wskazanym celu i zakresie.
– dodaje Katarzyna Jaśniewicz.
3. Weryfikacja środowiska informatycznego
Duże organizacje na co dzień przetwarzają ogromne ilości danych osobowych. Procesy te byłyby bardzo trudne do zrealizowania, gdyby nie odpowiednie wsparcie środowiska informatycznego w firmie. Aby zminimalizować ryzyko wycieku i mieć pewność, że dane przechowywane i przetwarzane w systemie są odpowiednio zabezpieczone, konieczna jest weryfikacja środowiska informatycznego w organizacji. Taką weryfikację powinno się wykonywać dwutorowo:
- z punktu widzenia organizacyjnego – kto i w jakim zakresie ma dostęp do systemu
- z punktu widzenia technicznego – weryfikacja zabezpieczeń przed ingerencją z zewnątrz, ale także z punktu widzenia architektury całego środowiska (w tym: możliwości ograniczenia dostępu, różnicowanie zakresu uprawnień, lokalizacja i dostęp do bazy danych)
Dostosowując środowisko informatyczne do RODO przedsiębiorcy powinni wziąć także pod uwagę minimalizację przetwarzania danych. W ramach systemu powinny zostać wyodrębnione określone działy związane zakresem obowiązków pracowników przetwarzających dane osobowe (urlopy, szkolenia itp.).
Należy pamiętać przede wszystkim o tym, że system to narzędzie administratora, więc im więcej będzie pomocnych funkcjonalności tym wygodniejsza będzie praca z jego użyciem
– podkreśla Katarzyna Jaśniewicz z Unit4 Polska.
Nasz dodatek do oprogramowania Teta ERP, Teta HR i Teta EDU – RODO advanced wyposażony jest w kluczowe funkcjonalności ułatwiające przetwarzanie danych. To między innymi:
- Mechanizm umożliwiający generowanie pliku do odczytu maszynowego w formacie xml, gdzie wszystkie dane są opisane odpowiednimi etykietami, dzięki czemu kolejny administrator będzie miał łatwość odczytu.
- 8 definicji umożliwiających skuteczne zapomnienie danych osobowych konkretnych osób. Tutaj odwołujemy się do danych pracowników, członków rodziny, osób biorących udział w obsłudze projektów, i procesów Logistycznych oraz kontrahentów, jeżeli są osobami fizycznymi. Użytkownik, oprócz tego, że uruchamia funkcję, musi wprowadzić indywidualny i jednorazowy kod umożliwiający mu skorzystanie z funkcji zapomnienia.
– dodaje Katarzyna Jaśniewicz.
Przegląd dokumentacji związanej z przetwarzaniem
Wdrażając nowe przepisy RODO należy także zrobić przegląd dokumentacji związanej z przetwarzaniem danych osobowych. Konieczna jest aktualizacja treści zgód i dostosowanie ich do wymogów RODO. To samo tyczy się klauzuli informującej pracownika o tym, że jego dane są przetwarzane. Ponadto dokumentem, który należy wprowadzić u każdego administratora i procesora jest rejestr czynności przetwarzania. To dokument, w którym są opisane ogólne czynności przetwarzania dokonywane w ramach danego zbioru, cel tego przetwarzania oraz przyznane dostępy. W rejestrze czynności przetwarzania należy określić wszystkich odbiorców danych, aby wykazać, że administrator lub procesor panuje nad tym kto może się z danymi zapoznać. Zgodnie z rozporządzeniem odbiorca danych osobowych to każda osoba, której ujawnia się dane osobowe, z wyjątkiem organów publicznych, które mogą uzyskiwać dane osobowe zgodnie z prawem, w ramach konkretnego postępowania.
Robiąc przegląd dokumentacji w firmie pod kątem RODO należy też przejrzeć wszystkie dokumenty obecnie obowiązujące – politykę bezpieczeństwa i instrukcje zarządzania systemami informatycznymi. RODO co prawda nie wymaga tych dokumentów, ale nie ulega wątpliwości, że posiadanie ich pomoże w zarządzaniu danymi, dlatego dobrze jest je zachować i dostosować do nowych przepisów RODO, takich jak prawo do zapomnienia czy przenoszenia danych.
– mówi Karol Brucko – Stępkowski, radca prawny z kancelarii SBS.
Każdy przedsiębiorca, który podczas wdrażania nowych przepisów związanych z RODO weźmie pod uwagę 4 powyższe elementy może być pewny, że jest dobrze przygotowany do ochrony danych osobowych swoich pracowników, zarówno wewnątrz jak i na zewnątrz organizacji.
Nie daj się zaskoczyć zmianom związanym z RODO. Pobierz niezbędnik RODO dla firm, w którym znajdziesz listę najważniejszych zmian w zakresie RODO w odniesieniu do różnych stanowisk w organizacji oraz najistotniejsze informacje wybrane z Informatora Ministerstwa Cyfryzacji.
Zachęcamy także do pobrania naszego filmowego kompendium wiedzy, w którym eksperci z różnych dziedzin mówią jak powinny wyglądać przygotowania do RODO z perspektywy pełnionych przez nich stanowisk.