Jak wdrożyć RODO?

Od 25 maja 2018 r. będzie stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.), popularnie określane jako „RODO”. Jest to akt prawny, który wprowadza jednolite przepisy dotyczące ochrony danych osobowych w całej Unii Europejskiej i zarazem rewolucyjne zmiany w tym zakresie.

Monika Wycykał

Opisz swój problem prawny... Zapytaj prawnika »

»Wybrane opinie klientów

Rewelacja!!! Wszystko bardzo klarownie wytłumaczone. Korzystałem z usług nie jednego prawnika, ale tak przygotowane pismo i objaśnienia jakie otrzymałem wprawiło mnie w zdumienie. Wszystko na najwyższym poziomie!!! Polecam serdecznie i dziękuję całemu zespołowi ePorady24, a w szczególności Panu Karolowi Jokielowi.

Zbyszek

Żadna opinia nie wyrazi mojej wdzięczności dla zespołu ePorady. Moja sprawa wydawała mi się tak skomplikowana, że nie do rozwiązania. Nie wiedziałem, od której strony ją zacząć. Szperając w internecie, natrafiłem na ePorady i okazało się, że moją sprawę można zacząć od strony, której absolutnie bym się nie spodziewał.
Jestem bardzo zadowolony z obrotu sprawy, która mnie dotyczy. Z tak znikomych danych, które przekazałem, otrzymałem pismo tak profesjonalnie napisane, jakby zespół ePorady był moim bardzo dobrym znajomym i znał mój problem tak dobrze jak ja. Dziękuję bardzo i będę polecał wszystkim korzystanie z waszych usług.

Henryk

Bardzo, bardzo dziękuję!!! W ciągu dwóch dni otrzymałam więcej wiadomości na temat mojej sprawy niż w ciągu 2 miesięcy od dwóch adwokatów!!!! Do tej pory dowiadywałam się tylko, jakie prawa ma osoba, która naraziła mnie na ogromne szkody, i jakie konsekwencje grożą mi, jeżeli nie będę respektować tych praw. Nawet odpowiedź na dodatkowe pytanie nastąpiła szybciej i była bardziej wyczerpująca niż trwająca od tygodnia dyskusja na ten temat z moim pełnomocnikiem (teraz byłym). O kosztach nie mówiąc. BARDZO POLECAM!!!

Małgorzata

Widziałem już wiele pozwów, ale sporządzony przez prawnika z eporady24.pl jest prawdziwym majstersztykiem i wyrazem profesjonalizmu. Jasno, konkretnie, przy minimum słów, maksimum treści. Do tego relacja jakości do ceny również znajduje swoje uzasadnienie. Z pełnym przekonaniem wygranej sprawy zanoszę pozew do sądu. Nikomu nie należy życzyć sądowych spraw, ale gdyby zaszła potrzeba, z pełnym przekonaniem mogę polecić eporady24.pl.

Jacek

Powiem tak: cuda załatwiane są od ręki! Na sprawie w sądzie sędzina była zaskoczona tak profesjonalnym i rzeczowym przygotowaniem, a wszystko dzięki ePorady24! Zakończyłem sprawę i wygrałem!!!! Polecam ten serwis i serdecznie dziękuję. Tak sprawnej obsługi mógłby pozazdrościć każdy inny serwis! Prawnicy są na najwyższym poziomie!!! Polecam z całego serca!!!

Zbyszek

wszystkie

Aby przystąpić do wdrażania systemu ochrony danych osobowych zgodnie z wymogami RODO, pierwszym warunkiem — i to warunkiem koniecznym — jest zmiana sposobu myślenia o ochronie danych osobowych. Dotychczas wiele podmiotów nie przywiązywało wagi do tych kwestii, ponieważ nie było realnych sankcji. Komputery firmowe, do których można zalogować się bez podania hasła, przechowywanie w nieskończoność dokumentów zawierających dane osobowe, nieprzekazywanie klientom informacji o ich prawach, pomijanie w umowach postanowień dotyczących przekazywania danych osobowych — to zjawiska występujące nagminnie.

Od maja 2018 r. zagadnienie to nie powinno być marginalizowane i należy traktować je poważnie, by uniknąć kar pieniężnych mogących sięgać wielu milionów złotych. Ochrona danych osobowych musi stanowić ważny element prowadzonej działalności, zwłaszcza u tych podmiotów, które przetwarzają wiele informacji o osobach fizycznych, np. w przypadku sklepów stacjonarnych i internetowych, biur rachunkowych, firm IT.

Budowa systemu danych osobowych zgodnego z RODO nie może ograniczyć się do zlecenia prawnikowi sporządzenia dokumentacji — tworzenie dokumentacji jest etapem OSTATNIM, a nie pierwszym. Trzeba całkowicie wykluczyć sytuację, gdy administrator danych osobowych najpierw zleci przygotowanie niezbędnych polityk, regulaminów, wzorów klauzul informacyjnych i zgody, a dopiero potem będzie dostosowywał swoją działalność do treści zawartych w dokumentach. Stworzenie jakiejkolwiek dokumentacji jest możliwe dopiero po wdrożeniu zaprojektowanych rozwiązań i ich szczegółowym opisaniu — dokumentacja absolutnie nie może opierać się na fikcji.

Wynika to stąd, że prawodawca unijny nie narzucił administratorom danych osobowych żadnego sztywnego modelu ochrony danych osobowych, do którego należy dostosować się w każdej organizacji. Wręcz przeciwnie, rewolucja w myśleniu o ochronie danych osobowych wyraża się między innymi w tym, że podmioty zobowiązane uzyskają dużą swobodę w kształtowaniu swojego własnego systemu ochrony danych osobowych – byle odpowiadał on zasadom zawartym w RODO i co najważniejsze, był skuteczny: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane” – art. 24 ust. 1 RODO.

W związku z powyższym, aby należycie zbudować taki system, trzeba starannie zaplanować cały proces. Trzeba pamiętać, że proces wdrożenia RODO może trwać 2-3 miesiące, zwłaszcza w przypadku tych podmiotów, które do tej pory nie przywiązywały szczególnej wagi do spraw związanych z ochroną danych osobowych. Należy również uwzględnić konieczność współpracy z prawnikami oraz specjalistami z zakresu IT, ponieważ wdrożenie systemu zgodnego z RODO wymaga wiedzy fachowej z obu dziedzin – zwłaszcza, gdy do stosowanych aplikacji, programów, systemów trzeba będzie dodać nową funkcjonalność.

Lista kroków, jakie należy podjąć na potrzeby wdrożenia RODO:

1. zaplanowanie procesu wdrażania systemu ochrony danych osobowych w czasie, wyznaczenie osób odpowiedzialnych za koordynowanie działań, nawiązanie współpracy z prawnikiem i informatykiem;
2. audyt wewnętrzny — w szczególności inwentaryzacja posiadanych zasobów danych osobowych, ustalenie procesów przetwarzania danych osobowych, stwierdzenie, co należy poprawić, aby system ochrony danych był zgodny z RODO;
3. ocena ryzyka związanego z przetwarzaniem danych osobowych;
4. przemyślenie rozwiązań organizacyjnych i technicznych, które będą wdrażane (np. stworzenie rejestru czynności przetwarzania, nadanie identyfikatorów pracownikom, którzy mają dostęp do danych osobowych, usunięcie danych osobowych przetwarzanych niezgodnie z prawem i wiele innych);
5. realizacja projektowanych rozwiązań organizacyjnych i technicznych oraz ich wdrożenie;
6. opis wdrożonych rozwiązań organizacyjnych i technicznych, jak również przygotowanie założeń potrzebnych do stworzenia dokumentacji RODO (m.in. polityka ochrony danych, wzór upoważnienia do przetwarzania danych osobowych, wzór umowy o przetwarzanie danych osobowych i wiele innych);
7. przygotowanie dokumentacji RODO przez prawnika;
8. przeszkolenie pracowników z zakresu ochrony danych osobowych.

Być może powyższa lista wygląda niewinnie, jednak trzeba pamiętać, że wykonanie punktów 2-5 może wymagać podjęcia nawet 100 odrębnych czynności. Oczywiście, istnieje możliwość powierzenia ich profesjonalnej firmie zajmującej się wdrażaniem systemów ochrony danych osobowych, ale w takim przypadku trzeba się liczyć z wydatkiem rzędu kilkunastu, kilkudziesięciu tysięcy złotych. Dlatego też w większości przypadków administratorzy danych osobowych raczej podejmą próbuję samodzielnego przeprowadzenia całego procesu — a to już wymaga odpowiedniej dyscypliny i właściwego podejścia.

Należy pamiętać, że administrator danych osobowych we własnym zakresie decyduje o wdrażanych rozwiązaniach i ostatecznym kształcie systemu ochrony danych osobowych, jednak trzeba pamiętać, że ponosi on odpowiedzialność prawną za to, aby te rozwiązania były wystarczające i adekwatne do wykonywanej działalności. Będzie to podlegało kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych.

Stan prawny obowiązujący na dzień 08.02.2018

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>