Jak wdrożyć RODO?

Aby przystąpić do wdrażania systemu ochrony danych osobowych zgodnie z wymogami RODO, pierwszym warunkiem — i to warunkiem koniecznym — jest zmiana sposobu myślenia o ochronie danych osobowych. Dotychczas wiele podmiotów nie przywiązywało wagi do tych kwestii, ponieważ nie było realnych sankcji. Komputery firmowe, do których można zalogować się bez podania hasła, przechowywanie w nieskończoność dokumentów zawierających dane osobowe, nieprzekazywanie klientom informacji o ich prawach, pomijanie w umowach postanowień dotyczących przekazywania danych osobowych — to zjawiska występujące nagminnie.

Od maja 2018 r. zagadnienie to nie powinno być marginalizowane i należy traktować je poważnie, by uniknąć kar pieniężnych mogących sięgać wielu milionów złotych. Ochrona danych osobowych musi stanowić ważny element prowadzonej działalności, zwłaszcza u tych podmiotów, które przetwarzają wiele informacji o osobach fizycznych, np. w przypadku sklepów stacjonarnych i internetowych, biur rachunkowych, firm IT.

Budowa systemu danych osobowych zgodnego z RODO nie może ograniczyć się do zlecenia prawnikowi sporządzenia dokumentacji — tworzenie dokumentacji jest etapem OSTATNIM, a nie pierwszym. Trzeba całkowicie wykluczyć sytuację, gdy administrator danych osobowych najpierw zleci przygotowanie niezbędnych polityk, regulaminów, wzorów klauzul informacyjnych i zgody, a dopiero potem będzie dostosowywał swoją działalność do treści zawartych w dokumentach. Stworzenie jakiejkolwiek dokumentacji jest możliwe dopiero po wdrożeniu zaprojektowanych rozwiązań i ich szczegółowym opisaniu — dokumentacja absolutnie nie może opierać się na fikcji.

Wynika to stąd, że prawodawca unijny nie narzucił administratorom danych osobowych żadnego sztywnego modelu ochrony danych osobowych, do którego należy dostosować się w każdej organizacji. Wręcz przeciwnie, rewolucja w myśleniu o ochronie danych osobowych wyraża się między innymi w tym, że podmioty zobowiązane uzyskają dużą swobodę w kształtowaniu swojego własnego systemu ochrony danych osobowych – byle odpowiadał on zasadom zawartym w RODO i co najważniejsze, był skuteczny: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane” – art. 24 ust. 1 RODO.

W związku z powyższym, aby należycie zbudować taki system, trzeba starannie zaplanować cały proces. Trzeba pamiętać, że proces wdrożenia RODO może trwać 2-3 miesiące, zwłaszcza w przypadku tych podmiotów, które do tej pory nie przywiązywały szczególnej wagi do spraw związanych z ochroną danych osobowych. Należy również uwzględnić konieczność współpracy z prawnikami oraz specjalistami z zakresu IT, ponieważ wdrożenie systemu zgodnego z RODO wymaga wiedzy fachowej z obu dziedzin – zwłaszcza, gdy do stosowanych aplikacji, programów, systemów trzeba będzie dodać nową funkcjonalność.

Lista kroków, jakie należy podjąć na potrzeby wdrożenia RODO:

1. zaplanowanie procesu wdrażania systemu ochrony danych osobowych w czasie, wyznaczenie osób odpowiedzialnych za koordynowanie działań, nawiązanie współpracy z prawnikiem i informatykiem;
2. audyt wewnętrzny — w szczególności inwentaryzacja posiadanych zasobów danych osobowych, ustalenie procesów przetwarzania danych osobowych, stwierdzenie, co należy poprawić, aby system ochrony danych był zgodny z RODO;
3. ocena ryzyka związanego z przetwarzaniem danych osobowych;
4. przemyślenie rozwiązań organizacyjnych i technicznych, które będą wdrażane (np. stworzenie rejestru czynności przetwarzania, nadanie identyfikatorów pracownikom, którzy mają dostęp do danych osobowych, usunięcie danych osobowych przetwarzanych niezgodnie z prawem i wiele innych);
5. realizacja projektowanych rozwiązań organizacyjnych i technicznych oraz ich wdrożenie;
6. opis wdrożonych rozwiązań organizacyjnych i technicznych, jak również przygotowanie założeń potrzebnych do stworzenia dokumentacji RODO (m.in. polityka ochrony danych, wzór upoważnienia do przetwarzania danych osobowych, wzór umowy o przetwarzanie danych osobowych i wiele innych);
7. przygotowanie dokumentacji RODO przez prawnika;
8. przeszkolenie pracowników z zakresu ochrony danych osobowych.

Być może powyższa lista wygląda niewinnie, jednak trzeba pamiętać, że wykonanie punktów 2-5 może wymagać podjęcia nawet 100 odrębnych czynności. Oczywiście, istnieje możliwość powierzenia ich profesjonalnej firmie zajmującej się wdrażaniem systemów ochrony danych osobowych, ale w takim przypadku trzeba się liczyć z wydatkiem rzędu kilkunastu, kilkudziesięciu tysięcy złotych. Dlatego też w większości przypadków administratorzy danych osobowych raczej podejmą próbuję samodzielnego przeprowadzenia całego procesu — a to już wymaga odpowiedniej dyscypliny i właściwego podejścia.

Należy pamiętać, że administrator danych osobowych we własnym zakresie decyduje o wdrażanych rozwiązaniach i ostatecznym kształcie systemu ochrony danych osobowych, jednak trzeba pamiętać, że ponosi on odpowiedzialność prawną za to, aby te rozwiązania były wystarczające i adekwatne do wykonywanej działalności. Będzie to podlegało kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych.

Stan prawny obowiązujący na dzień 08.02.2018