Podziel się z nami swoją opinią!
Prawo
Komentarze6

Jak wdrożyć RODO krok po kroku? Plan wdrożenia RODO

2018.02.16

25 maja 2018 r. "wchodzi w życie" (w znaczeniu potocznym) rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.), popularnie określane jako „RODO”. Jest to akt prawny, który wprowadza jednolite przepisy dotyczące ochrony danych osobowych w całej Unii Europejskiej i wprowadza rewolucyjne zmiany w tym zakresie.

Aby przystąpić do wdrażania systemu ochrony danych osobowych zgodnie z wymogami RODO, pierwszym warunkiem — i to warunkiem koniecznym — jest zmiana sposobu myślenia o ochronie danych osobowych. Dotychczas wiele podmiotów nie przywiązywało wagi do tych kwestii, ponieważ nie było realnych sankcji. Komputery firmowe, do których można zalogować się bez podania hasła, przechowywanie w nieskończoność dokumentów zawierających dane osobowe, nieprzekazywanie klientom informacji o ich prawach, pomijanie w umowach postanowień dotyczących przekazywania danych osobowych — to zjawiska występujące nagminnie.

Od maja 2018 r. zagadnienie to nie powinno być marginalizowane i należy traktować je poważnie, by uniknąć kar pieniężnych mogących sięgać wielu milionów złotych. Ochrona danych osobowych musi stanowić ważny element prowadzonej działalności, zwłaszcza u tych podmiotów, które przetwarzają wiele informacji o osobach fizycznych, np. w przypadku sklepów stacjonarnych i internetowych, biur rachunkowych, firm IT.

Budowa systemu danych osobowych zgodnego z RODO nie może ograniczyć się do zlecenia prawnikowi sporządzenia dokumentacji — tworzenie dokumentacji jest etapem OSTATNIM, a nie pierwszym. Trzeba całkowicie wykluczyć sytuację, gdy administrator danych osobowych najpierw zleci przygotowanie niezbędnych polityk, regulaminów, wzorów klauzul informacyjnych i zgody, a dopiero potem będzie dostosowywał swoją działalność do treści zawartych w dokumentach. Stworzenie jakiejkolwiek dokumentacji jest możliwe dopiero po wdrożeniu zaprojektowanych rozwiązań i ich szczegółowym opisaniu — dokumentacja absolutnie nie może opierać się na fikcji.

Wynika to stąd, że prawodawca unijny nie narzucił administratorom danych osobowych żadnego sztywnego modelu ochrony danych osobowych, do którego należy dostosować się w każdej organizacji. Wręcz przeciwnie, rewolucja w myśleniu o ochronie danych osobowych wyraża się między innymi w tym, że podmioty zobowiązane uzyskają dużą swobodę w kształtowaniu swojego własnego systemu ochrony danych osobowych — byle odpowiadał on zasadom zawartym w RODO i co najważniejsze, był skuteczny: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane” – art. 24 ust. 1 RODO.

W związku z powyższym aby należycie zbudować taki system, trzeba starannie zaplanować cały proces. Trzeba pamiętać, że proces wdrożenia RODO może trwać 2-3 miesiące, zwłaszcza w przypadku tych podmiotów, które do tej pory nie przywiązywały szczególnej wagi do spraw związanych z ochroną danych osobowych. Należy również uwzględnić konieczność współpracy z prawnikami oraz specjalistami z zakresu IT, ponieważ wdrożenie systemu zgodnego z RODO wymaga wiedzy fachowej z obu dziedzin — zwłaszcza, gdy do stosowanych aplikacji, programów, systemów trzeba będzie dodać nową funkcjonalność.

Lista kroków, jakie należy podjąć na potrzeby wdrożenia RODO:

  1. zaplanowanie procesu wdrażania systemu ochrony danych osobowych w czasie, wyznaczenie osób odpowiedzialnych za koordynowanie działań, nawiązanie współpracy z prawnikiem i informatykiem;
  2. audyt wewnętrzny — w szczególności inwentaryzacja posiadanych zasobów danych osobowych, ustalenie procesów przetwarzania danych osobowych, stwierdzenie, co należy poprawić, aby system ochrony danych był zgodny z RODO;
  3. ocena ryzyka związanego z przetwarzaniem danych osobowych;
  4. przemyślenie rozwiązań organizacyjnych i technicznych, które będą wdrażane (np. stworzenie rejestru czynności przetwarzania, nadanie identyfikatorów pracownikom, którzy mają dostęp do danych osobowych, usunięcie danych osobowych przetwarzanych niezgodnie z prawem i wiele innych);
  5. realizacja projektowanych rozwiązań organizacyjnych i technicznych i ich wdrożenie;
  6. opis wdrożonych rozwiązań organizacyjnych i technicznych, jak również przygotowanie założeń potrzebnych do stworzenia dokumentacji RODO (m. in. polityka ochrony danych, wzór upoważnienia do przetwarzania danych osobowych, wzór umowy o przetwarzanie danych osobowych i wiele innych);
  7. przygotowanie dokumentacji RODO przez prawnika;
  8. przeszkolenie pracowników z zakresu ochrony danych osobowych.

Być może powyższa lista wygląda niewinnie, jednak trzeba pamiętać, że wykonanie punktów 2-5 może wymagać podjęcia nawet 100 odrębnych czynności. Oczywiście, istnieje możliwość powierzenia ich profesjonalnej firmie zajmującej się wdrażaniem systemów ochrony danych osobowych, ale w takim przypadku trzeba się liczyć z wydatkiem rzędu kilkunastu, kilkudziesięciu tysięcy złotych. Dlatego też w większości przypadków administratorzy danych osobowych raczej podejmą próbę samodzielnego przeprowadzenia całego procesu — a to już wymaga odpowiedniej dyscypliny i właściwego podejścia. 

Administrator danych osobowych we własnym zakresie decyduje o wdrażanych rozwiązaniach i ostatecznym kształcie systemu ochrony danych osobowych, jednak trzeba pamiętać, że ponosi on odpowiedzialność prawną za to, aby te rozwiązania były wystarczające i adekwatne do wykonywanej działalności. Będzie to podlegało kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych.

Wychodząc naprzeciw oczekiwaniom klientów, w sprzedaży dostępne jest opracowanie mojego autorstwa Jak wdrożyć RODO? Wytyczne na potrzeby wdrożenia systemu ochrony danych osobowych, o objętości 86 stron, zawierające szczegółowe omówienie, jak krok po kroku wdrożyć RODO, oraz listę kontrolną zawierającą 105 czynności do zrobienia. W celu nabycia proszę o kontakt bezpośredni lub zakup TUTAJ.

Dla użytkowników serwisu Mój Ekspert 2 godziny konsultacji - w cenie opracowania. 

Dołącz do dyskusji

Komentarze6
sebastian 2018.06.27 09:30:56
Z tego co czytałem to kary za niedostosowanie się do nowych zasad są wysokie, dlatego ja od razu zacząłem wdrażać je do swojej firmy. Sam nie dałem rady bo jest to dla mnie za bardzo skomplikowane, dlatego zgłosiłem ie o pomoc do firmy https://przepisy-rodo.pl/ tam wszystko mi fajnie na przykładach wyjaśnili i od razu wszystko stało się prostsze.
jarek 2018.05.22 22:59:06
Nie wiesz co to RODO i jakie procedury są potrzebne aby to wdrożyć, jak wygląda audyt wewnętrzny? Prowadzenie rejestrów staje się teraz obowiązkowe, jednak ich zakres jest dla każdej firmy indywidualny, tutaj jest wszystko fajnie opisane http://www.stampler.pl/porady,zdazyles-z-rodo
Zdjęcie agenta
Monika Wycykał 2018.02.16 22:34:25
Na wszelki wypadek doprecyzowałam, że chodzi o ujęcie potoczne, co by nie gorszyć prawników :)
gość 2018.02.16 22:32:35
"...nie jest artykuł dla prawników, tylko zwykłych ludzi,..." - o to chodzi bo to zwykłych ludzi dotyczy w efekcie końcowym. Super artykuł!
Zdjęcie agenta
Monika Wycykał 2018.02.16 22:29:27
Panie/Pani nnn, naprawdę zdaję sobie sprawę, czym różni się "wejście w życie" od "rozpoczęcia stosowania" po 2-letnim vacatio legis. Kłopot w tym, że to nie jest artykuł dla prawników, tylko zwykłych ludzi, dla których RODO "wchodzi w życie", więc używam wyrażeń potocznych. Jeżeli będę pisać artykuł do czasopisma naukowego, to pojawi się "rozpoczęcie stosowania".
nnn 2018.02.16 22:18:25
25 maja 2018 r. wchodzi w życie rozporządzenie Parlamentu - to zdanie przekreśla całą merytorykę publikacji.
Wiadomość