Podziel się z nami swoją opinią!
Prawo
Komentarze4

Jak wdrożyć RODO krok po kroku? Plan wdrożenia RODO

2018.02.16

25 maja 2018 r. "wchodzi w życie" (w znaczeniu potocznym) rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.), popularnie określane jako „RODO”. Jest to akt prawny, który wprowadza jednolite przepisy dotyczące ochrony danych osobowych w całej Unii Europejskiej i wprowadza rewolucyjne zmiany w tym zakresie.

Aby przystąpić do wdrażania systemu ochrony danych osobowych zgodnie z wymogami RODO, pierwszym warunkiem — i to warunkiem koniecznym — jest zmiana sposobu myślenia o ochronie danych osobowych. Dotychczas wiele podmiotów nie przywiązywało wagi do tych kwestii, ponieważ nie było realnych sankcji. Komputery firmowe, do których można zalogować się bez podania hasła, przechowywanie w nieskończoność dokumentów zawierających dane osobowe, nieprzekazywanie klientom informacji o ich prawach, pomijanie w umowach postanowień dotyczących przekazywania danych osobowych — to zjawiska występujące nagminnie.

Od maja 2018 r. zagadnienie to nie powinno być marginalizowane i należy traktować je poważnie, by uniknąć kar pieniężnych mogących sięgać wielu milionów złotych. Ochrona danych osobowych musi stanowić ważny element prowadzonej działalności, zwłaszcza u tych podmiotów, które przetwarzają wiele informacji o osobach fizycznych, np. w przypadku sklepów stacjonarnych i internetowych, biur rachunkowych, firm IT.

Budowa systemu danych osobowych zgodnego z RODO nie może ograniczyć się do zlecenia prawnikowi sporządzenia dokumentacji — tworzenie dokumentacji jest etapem OSTATNIM, a nie pierwszym. Trzeba całkowicie wykluczyć sytuację, gdy administrator danych osobowych najpierw zleci przygotowanie niezbędnych polityk, regulaminów, wzorów klauzul informacyjnych i zgody, a dopiero potem będzie dostosowywał swoją działalność do treści zawartych w dokumentach. Stworzenie jakiejkolwiek dokumentacji jest możliwe dopiero po wdrożeniu zaprojektowanych rozwiązań i ich szczegółowym opisaniu — dokumentacja absolutnie nie może opierać się na fikcji.

Wynika to stąd, że prawodawca unijny nie narzucił administratorom danych osobowych żadnego sztywnego modelu ochrony danych osobowych, do którego należy dostosować się w każdej organizacji. Wręcz przeciwnie, rewolucja w myśleniu o ochronie danych osobowych wyraża się między innymi w tym, że podmioty zobowiązane uzyskają dużą swobodę w kształtowaniu swojego własnego systemu ochrony danych osobowych — byle odpowiadał on zasadom zawartym w RODO i co najważniejsze, był skuteczny: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane” – art. 24 ust. 1 RODO.

W związku z powyższym aby należycie zbudować taki system, trzeba starannie zaplanować cały proces. Trzeba pamiętać, że proces wdrożenia RODO może trwać 2-3 miesiące, zwłaszcza w przypadku tych podmiotów, które do tej pory nie przywiązywały szczególnej wagi do spraw związanych z ochroną danych osobowych. Należy również uwzględnić konieczność współpracy z prawnikami oraz specjalistami z zakresu IT, ponieważ wdrożenie systemu zgodnego z RODO wymaga wiedzy fachowej z obu dziedzin — zwłaszcza, gdy do stosowanych aplikacji, programów, systemów trzeba będzie dodać nową funkcjonalność.

Lista kroków, jakie należy podjąć na potrzeby wdrożenia RODO:

  1. zaplanowanie procesu wdrażania systemu ochrony danych osobowych w czasie, wyznaczenie osób odpowiedzialnych za koordynowanie działań, nawiązanie współpracy z prawnikiem i informatykiem;
  2. audyt wewnętrzny — w szczególności inwentaryzacja posiadanych zasobów danych osobowych, ustalenie procesów przetwarzania danych osobowych, stwierdzenie, co należy poprawić, aby system ochrony danych był zgodny z RODO;
  3. ocena ryzyka związanego z przetwarzaniem danych osobowych;
  4. przemyślenie rozwiązań organizacyjnych i technicznych, które będą wdrażane (np. stworzenie rejestru czynności przetwarzania, nadanie identyfikatorów pracownikom, którzy mają dostęp do danych osobowych, usunięcie danych osobowych przetwarzanych niezgodnie z prawem i wiele innych);
  5. realizacja projektowanych rozwiązań organizacyjnych i technicznych i ich wdrożenie;
  6. opis wdrożonych rozwiązań organizacyjnych i technicznych, jak również przygotowanie założeń potrzebnych do stworzenia dokumentacji RODO (m. in. polityka ochrony danych, wzór upoważnienia do przetwarzania danych osobowych, wzór umowy o przetwarzanie danych osobowych i wiele innych);
  7. przygotowanie dokumentacji RODO przez prawnika;
  8. przeszkolenie pracowników z zakresu ochrony danych osobowych.

Być może powyższa lista wygląda niewinnie, jednak trzeba pamiętać, że wykonanie punktów 2-5 może wymagać podjęcia nawet 100 odrębnych czynności. Oczywiście, istnieje możliwość powierzenia ich profesjonalnej firmie zajmującej się wdrażaniem systemów ochrony danych osobowych, ale w takim przypadku trzeba się liczyć z wydatkiem rzędu kilkunastu, kilkudziesięciu tysięcy złotych. Dlatego też w większości przypadków administratorzy danych osobowych raczej podejmą próbę samodzielnego przeprowadzenia całego procesu — a to już wymaga odpowiedniej dyscypliny i właściwego podejścia. 

Administrator danych osobowych we własnym zakresie decyduje o wdrażanych rozwiązaniach i ostatecznym kształcie systemu ochrony danych osobowych, jednak trzeba pamiętać, że ponosi on odpowiedzialność prawną za to, aby te rozwiązania były wystarczające i adekwatne do wykonywanej działalności. Będzie to podlegało kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych.

Wychodząc naprzeciw oczekiwaniom klientów, w sprzedaży dostępne jest opracowanie mojego autorstwa Jak wdrożyć RODO? Wytyczne na potrzeby wdrożenia systemu ochrony danych osobowych, o objętości 86 stron, zawierające szczegółowe omówienie, jak krok po kroku wdrożyć RODO, oraz listę kontrolną zawierającą 105 czynności do zrobienia. W celu nabycia proszę o kontakt bezpośredni lub zakup TUTAJ.

Dla użytkowników serwisu Mój Ekspert 2 godziny konsultacji - w cenie opracowania. 

Dołącz do dyskusji

Komentarze4
Zdjęcie agenta
Monika Wycykał 2018.02.16 22:34:25
Na wszelki wypadek doprecyzowałam, że chodzi o ujęcie potoczne, co by nie gorszyć prawników :)
gość 2018.02.16 22:32:35
"...nie jest artykuł dla prawników, tylko zwykłych ludzi,..." - o to chodzi bo to zwykłych ludzi dotyczy w efekcie końcowym. Super artykuł!
Zdjęcie agenta
Monika Wycykał 2018.02.16 22:29:27
Panie/Pani nnn, naprawdę zdaję sobie sprawę, czym różni się "wejście w życie" od "rozpoczęcia stosowania" po 2-letnim vacatio legis. Kłopot w tym, że to nie jest artykuł dla prawników, tylko zwykłych ludzi, dla których RODO "wchodzi w życie", więc używam wyrażeń potocznych. Jeżeli będę pisać artykuł do czasopisma naukowego, to pojawi się "rozpoczęcie stosowania".
nnn 2018.02.16 22:18:25
25 maja 2018 r. wchodzi w życie rozporządzenie Parlamentu - to zdanie przekreśla całą merytorykę publikacji.
Wiadomość