Mamy 10 894 opinii naszych Klientów

W serwisie

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.
(zadanie pytania do niczego nie zobowiązuje)

Jak wdrożyć RODO?

Autor: Monika Wycykał • Opublikowane: 08.02.2018

Od 25 maja 2018 r. będzie stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.), popularnie określane jako „RODO”. Jest to akt prawny, który wprowadza jednolite przepisy dotyczące ochrony danych osobowych w całej Unii Europejskiej i zarazem rewolucyjne zmiany w tym zakresie.

Masz podobny problem? Kliknij tutaj i zadaj pytanie.

Aby przystąpić do wdrażania systemu ochrony danych osobowych zgodnie z wymogami RODO, pierwszym warunkiem — i to warunkiem koniecznym — jest zmiana sposobu myślenia o ochronie danych osobowych. Dotychczas wiele podmiotów nie przywiązywało wagi do tych kwestii, ponieważ nie było realnych sankcji. Komputery firmowe, do których można zalogować się bez podania hasła, przechowywanie w nieskończoność dokumentów zawierających dane osobowe, nieprzekazywanie klientom informacji o ich prawach, pomijanie w umowach postanowień dotyczących przekazywania danych osobowych — to zjawiska występujące nagminnie.

Od maja 2018 r. zagadnienie to nie powinno być marginalizowane i należy traktować je poważnie, by uniknąć kar pieniężnych mogących sięgać wielu milionów złotych. Ochrona danych osobowych musi stanowić ważny element prowadzonej działalności, zwłaszcza u tych podmiotów, które przetwarzają wiele informacji o osobach fizycznych, np. w przypadku sklepów stacjonarnych i internetowych, biur rachunkowych, firm IT.

Budowa systemu danych osobowych zgodnego z RODO nie może ograniczyć się do zlecenia prawnikowi sporządzenia dokumentacji — tworzenie dokumentacji jest etapem OSTATNIM, a nie pierwszym. Trzeba całkowicie wykluczyć sytuację, gdy administrator danych osobowych najpierw zleci przygotowanie niezbędnych polityk, regulaminów, wzorów klauzul informacyjnych i zgody, a dopiero potem będzie dostosowywał swoją działalność do treści zawartych w dokumentach. Stworzenie jakiejkolwiek dokumentacji jest możliwe dopiero po wdrożeniu zaprojektowanych rozwiązań i ich szczegółowym opisaniu — dokumentacja absolutnie nie może opierać się na fikcji.

Wynika to stąd, że prawodawca unijny nie narzucił administratorom danych osobowych żadnego sztywnego modelu ochrony danych osobowych, do którego należy dostosować się w każdej organizacji. Wręcz przeciwnie, rewolucja w myśleniu o ochronie danych osobowych wyraża się między innymi w tym, że podmioty zobowiązane uzyskają dużą swobodę w kształtowaniu swojego własnego systemu ochrony danych osobowych – byle odpowiadał on zasadom zawartym w RODO i co najważniejsze, był skuteczny: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane” – art. 24 ust. 1 RODO.

W związku z powyższym, aby należycie zbudować taki system, trzeba starannie zaplanować cały proces. Trzeba pamiętać, że proces wdrożenia RODO może trwać 2-3 miesiące, zwłaszcza w przypadku tych podmiotów, które do tej pory nie przywiązywały szczególnej wagi do spraw związanych z ochroną danych osobowych. Należy również uwzględnić konieczność współpracy z prawnikami oraz specjalistami z zakresu IT, ponieważ wdrożenie systemu zgodnego z RODO wymaga wiedzy fachowej z obu dziedzin – zwłaszcza, gdy do stosowanych aplikacji, programów, systemów trzeba będzie dodać nową funkcjonalność.

Lista kroków, jakie należy podjąć na potrzeby wdrożenia RODO:

zaplanowanie procesu wdrażania systemu ochrony danych osobowych w czasie, wyznaczenie osób odpowiedzialnych za koordynowanie działań, nawiązanie współpracy z prawnikiem i informatykiem;
audyt wewnętrzny — w szczególności inwentaryzacja posiadanych zasobów danych osobowych, ustalenie procesów przetwarzania danych osobowych, stwierdzenie, co należy poprawić, aby system ochrony danych był zgodny z RODO;
ocena ryzyka związanego z przetwarzaniem danych osobowych;
przemyślenie rozwiązań organizacyjnych i technicznych, które będą wdrażane (np. stworzenie rejestru czynności przetwarzania, nadanie identyfikatorów pracownikom, którzy mają dostęp do danych osobowych, usunięcie danych osobowych przetwarzanych niezgodnie z prawem i wiele innych);
realizacja projektowanych rozwiązań organizacyjnych i technicznych oraz ich wdrożenie;
opis wdrożonych rozwiązań organizacyjnych i technicznych, jak również przygotowanie założeń potrzebnych do stworzenia dokumentacji RODO (m.in. polityka ochrony danych, wzór upoważnienia do przetwarzania danych osobowych, wzór umowy o przetwarzanie danych osobowych i wiele innych);
przygotowanie dokumentacji RODO przez prawnika;
przeszkolenie pracowników z zakresu ochrony danych osobowych.

Być może powyższa lista wygląda niewinnie, jednak trzeba pamiętać, że wykonanie punktów 2-5 może wymagać podjęcia nawet 100 odrębnych czynności. Oczywiście, istnieje możliwość powierzenia ich profesjonalnej firmie zajmującej się wdrażaniem systemów ochrony danych osobowych, ale w takim przypadku trzeba się liczyć z wydatkiem rzędu kilkunastu, kilkudziesięciu tysięcy złotych. Dlatego też w większości przypadków administratorzy danych osobowych raczej podejmą próbuję samodzielnego przeprowadzenia całego procesu — a to już wymaga odpowiedniej dyscypliny i właściwego podejścia.

Należy pamiętać, że administrator danych osobowych we własnym zakresie decyduje o wdrażanych rozwiązaniach i ostatecznym kształcie systemu ochrony danych osobowych, jednak trzeba pamiętać, że ponosi on odpowiedzialność prawną za to, aby te rozwiązania były wystarczające i adekwatne do wykonywanej działalności. Będzie to podlegało kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych.

———

Jak wdrożyć RODO? Wytyczne na potrzeby wdrożenia systemu ochrony danych osobowych

Stan prawny obowiązujący na dzień 08.02.2018

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

wersja do druku

Komentarze (0):

Dodaj komentarz [+]

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

»Podobne materiały

Rodzaje czynności przetwarzania danych osobowych na gruncie RODO

Prawodawca unijny zawarł w art. 4 pkt 2 RODO definicję przetwarzania danych osobowych: „»Przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalan

Definicja i rodzaje danych osobowych w RODO

Najważniejszym pojęciem pojawiającym się w RODO jest oczywiście pojęcie „danych osobowych” — ich ochrona stanowi istotę przyjętego rozporządzenia. Z uwagi na brak katalogu podmiotów, które mogą być uznane za administratorów danych osobowych lub podmioty przetwarzające dane osobowe,

Inspektor ochrony danych

Kim jest inspektor danych osobowych w świetle RODO? W ustawie o ochronie danych z 1997 r., wdrażającej unijną dyrektywę 95/46/WE, występuje podmiot zwany „administratorem bezpieczeństwa informacji”, którego może powołać administrator danych osobowych dla zapewnienia lepszego pozio

RODO – rewolucyjne zmiany w ochronie danych osobowych

Co to jest RODO i czy trzeba się bać? Od jakiegoś czasu w mediach pojawia się tajemniczo brzmiące słowo „RODO”. Niewiele osób zdaje sobie sprawę, że sprawa RODO to nie kolejna ciekawostka w środowisku prawników, lecz prawdziwa rewolucja, która dotknie setki tysięcy przedsiębiorstw w cał

Kogo dotyczy RODO?

Kogo dotyczą obowiązki przewidziane w RODO? W dotychczas obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. U. 2016 r., poz. 922, z późn. zm. — dalej: u.o.d.o.) polski ustawodawca wyraźnie wskazał, do kogo stosuje się przepisy ustawy.

Czy wdrożenie RODO polega tylko na posiadaniu dokumentacji zgodnej z RODO?

Wiele osób będących administratorami danych osobowych lub podmiotami przetwarzającymi dane osobowe, ale również prawników, którzy dopiero zaczynają uczyć się nowych przepisów o ochronie danych osobowych, wychodzi z mylnego założenia, że wdrożenie RODO to wyłącznie posiadanie dokumentacji związanej z

Zapytaj prawnika »

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:

Zapytaj prawnika

Dodaję kolejny plik +

WAŻNE 🡆 Akceptuję Regulaminem świadczenia usług i zapoznałem się z informacjami o danych osobowych.

WAŻNE 🡆 Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia i numeru telefonu, które podałem/podałam w tym formularzu, przez „Lexine” Gawek i Kielar Spółkę jawną, z siedzibą przy ul. Witkowickiej 82, 31-242 Kraków, będącą administratorem moich danych osobowych — w celu otrzymywania sms-ów związanych z realizacją usługi.

Zgadzam się na przesyłanie informacji handlowych przez administratora na podany e-mail zgodnie z ustawą z 18.07.02 r. o świadczeniu usług drogą elektroniczną (t. j. Dz. U. 2017 poz. 1219, z późn. zm.).

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny

Najnowsze pytania w dziale

Czy sanatorium ma prawo monitorować jadalnię i salę ćwiczeń? Robienie żartów przez telefon a odpowiedzialność prawna Montaż kamer na budynku należącym do wspólnoty a RODO Przetwarzanie danych kontaktowych (telefon, email) w sprawach urzędowych - RODO Wysłanie listu służbowego pod zły adres a RODO Czy szkoła ma prawo żądać nr PESEL od wolontariusza? Omyłkowe wysłanie faktur do innych klientów a RODO Upublicznienie danych zgłaszającego zakłócanie ciszy nocnej Rozpowszechnianie informacji o chorobach i operacjach a RODO Podszycie się pod inną osobę i wyłudzenie danych

Szukamy ambitnego prawnika »