Skuteczna ochrona danych osobowych jest obecnie obowiązkiem każdej firmy. Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane w skrócie RODO. RODO dotyczy każdej firmy bez znaczenia w jakiej formie prawnej ona działa. Właściwa ochrona danych osobowych, audyt RODO i wdrożenie RODO jest powinnością zarówno małej, jednoosobowej działalności wpisanej do CEIDG, jak i spółki osobowej czy dużej spółki kapitałowej. Możesz zdecydować się na samodzielne wdrożenie RODO lub zlecić wdrożenie RODO naszemu prawnikowi. Nasza Kancelaria RODO pomoże Ci wdrożyć RODO w firmie i zapewnić bezpieczeństwo przetwarzanych przez Ciebie danych osobowych. Przeprowadzi audyt zgodności z RODO oraz przygotuje wzorcową, dostosowaną do rodzaju działalności i branży „szytą na miarę” dokumentację i polityki. O tym jak powinna wyglądać w Twojej firmie ochrona danych osobowych, audyt RODO oraz wdrożenie RODO dowiesz się z niniejszego artykułu.
ETAP I – ANALIZA PRZETWARZANYCH DANYCH OSOBOWYCH I REJESTR CZYNNOŚCI PRZETWARZANIA
Nie ma jednego właściwego schematu na wdrożenie RODO i audyt RODO. Przepisy RODO są dość ogólne. To na Twojej firmie jako administratorze danych osobowych spoczywa ciężar zaprojektowania skutecznego systemu ochrony danych osobowych, wdrożenia RODO oraz wykazania podczas kontroli z Urzędu Ochrony Danych Osobowych, że Twoja firma spełnia wymogi wynikające z RODO. Twoja firma jest zobowiązana wdrożyć odpowiednie środki techniczne i organizacyjne aby przetwarzanie danych osobowych odbywało się zgodnie z RODO i musi być w stanie to wykazać. Firma powinna wziąć pod uwagę przede wszystkim to jakie dane przetwarza u siebie, w jakim celu i na jakiej podstawie prawnej oraz w jaki sposób zabezpiecza i chroni przetwarzane dane. Dlatego przed wdrożeniem RODO zalecane jest przeprowadzić audyt RODO aby zweryfikować działanie dotychczasowego systemu ochrony danych osobowych.
W pierwszej kolejności firma musi zweryfikować jakie dane osobowe przetwarza i skąd je pozyskuje. To mogą być dane osobowe pracowników, kontrahentów, osób zapisanych na newsletter, osób składających zamówienia czy osób, które kontaktują się za pomocą formularza kontaktowego zamieszczonego na stronie internetowej firmy. Kolejnym krokiem jest ustalenie w jakim celu dane osobowe są przetwarzane, jakie są to dane (zwykłe czy wrażliwe), na jakiej podstawie są przetwarzane oraz przez jaki okres. Przesłanki legalizujące wymienione zostały w art. 6 RODO i są to: zgoda; umowa; obowiązek prawny; ochrona żywotnych interesów; interes publiczny i prawnie uzasadniony interes. Jeśli już przeprowadziłeś taką analizę, łatwiej Ci będzie stworzyć rejestr czynności przetwarzania. Obowiązek jego prowadzenia wynika z art. 30 ust. 1 RODO. Do rejestru musisz wpisać następujące informacje: nazwę i dane kontaktowe administratora czyli Twojej firmy; dane Inspektora Ochrony Danych jeśli został wyznaczony w Twojej firmie; cele przetwarzania; opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej oraz o ile to możliwe planowane terminy usunięcia poszczególnych kategorii danych i ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
ETAP II – OCENA RYZYKA
RODO oznacza podejście oparte na ryzyku. Aby wdrożyć odpowiednie środki zabezpieczenia danych konieczne będzie przeprowadzenie w Twojej firmie analizy i oceny ryzyka. Ocena ryzyka w RODO powinna zostać poprzedzona jego analizą. Jest to oszacowanie wielkości prawdopodobieństwa i skutków wystąpienia zidentyfikowanych uprzednio ryzyk. Ocena ryzyka polega na porównywaniu wyników analizy ryzyka z kryteriami ryzyka np. istotność ryzyka i częstotliwość występowania w celu stwierdzenia, czy dane ryzyko i jego wielkość są w Twojej firmie akceptowalne czy niedopuszczalne. Efektem oceny ryzyka jest jakościowe jego oszacowanie i wskazanie na ryzyko na poziomie określonym jako znikome, niskie lub wysokie lub ilościowy opis w przyjętej skali progowej, np. od 0 do 2, 3-5, 6-10.
Musisz zatem w swojej firmie wykonać następujące kroki:
Krok 1 – przeprowadzić inwentaryzację danych osobowych, tj. ustalić jakie dane osobowe przetwarzasz, gdzie, w jakim celu i czy istnieje podstawa prawna wskazana w art. 6 RODO;
Krok 2 – określić listę zagrożeń dla ww. danych, w wyniku których może nastąpić naruszenie ochrony danych osobowych, np. włamanie do budynku, pożar, zalanie, atak hakerski, udostępnienie danych osobie nieuprawnionej;
Krok 3 – określić prawdopodobieństwo wystąpienia danego ryzyka;
Krok 4 – określić istotę danego ryzyka przez pryzmat np. wielkości szkody, jakie zdarzenie to może spowodować;
Krok 5 – to wskazanie skutków wystąpienia danego ryzyka, np. naruszenie prawa osoby do ochrony jej danych osobowych, kradzież tożsamości, straty wizerunkowe dla firmy;
Krok 6 – to wskazanie środków bezpieczeństwa, które wyeliminują lub zminimalizują ryzyko (np. przechowywanie dokumentacji w szafie zamykanej na klucz, alarm w budynku, ochrona przeciwpożarowa).
Jest to najbardziej pracochłonny etap. Nasza kancelaria RODO pomoże Ci przebrnąć bez problemów przez analizę i ocenę ryzyka.
ETAP III – ŚRODKI BEZPIECZEŃSTWA
Kolejny etap dotyczący wprowadzania środków bezpieczeństwa wynika wprost z przeprowadzonej analizy i oceny ryzyka. Musisz odpowiedzieć na pytanie jakie zastosować w firmie środki bezpieczeństwa, które wyłączą lub ograniczą ryzyko wystąpienia zdarzenia zagrażającego bezpieczeństwu przetwarzania danych osobowych. Zgodnie z przepisami art. 24 i 25 RODO administrator wdraża odpowiednie środki techniczne i organizacyjne aby przetwarzanie danych odbywało się zgodnie z RODO i aby móc to wykazać. Sama firma więc musi ocenić jakie według niej środki będą odpowiednie. Środki te mogą obejmować wdrożenie w firmie odpowiednich polityk ochrony danych. Środki bezpieczeństwa musisz wprowadzić z punktu widzenia ryzyka na jakie są narażone przetwarzane przez Ciebie dane. To znaczy, że aby podjąć decyzję jakie środki bezpieczeństwa wprowadzić w firmie należy uprzednio przeanalizować na jakie ryzyko narażone są dane osobowe przetwarzane w firmie. Jeśli dokumentacja zawierające dane osobowe przetwarzana jest w wersji papierowej to zagrożeniem będzie utrata danych wskutek pożaru czy zalania. Jeśli dane osobowe przetwarzane są elektronicznie i trzymane w chmurze, to zagrożeniem będzie utrata danych wskutek ataku hakerskiego. Innymi zagrożeniami może być uzyskanie przez osobę nieuprawnioną dostępu do danych wskutek np. ujawnienia hasła do komputera, na którym przetwarzane są dane czy swobodny dostęp do pomieszczenia, w którym znajduje się dokumentacja papierowa z danymi osobowymi. Jeśli już przeanalizowałeś ryzyka i zagrożenia dla danych osobowych przetwarzanych we własnej firmie, powinieneś wprowadzić odpowiednie środki bezpieczeństwa. Przykładowo dla dokumentacji papierowej z danymi osobowymi będzie to szafa zamykana na klucz czy szafa z podwyższoną ochroną przeciwpożarową oraz gaśnice znajdujące się w pomieszczeniu. Z kolei budynek i pomieszczenia, w których przetwarzane są dane osobowe powinny być chronione przed dostępem osób nieuprawnionych np. zamykane na klucz, czy karty magnetyczne które posiadają upoważnione osoby, zamontowany system alarmowy itp.
ETAP IV – CHECKLISTA NIEZBĘDNYCH DOKUMENTÓW
Jeśli przebrniesz w swojej firmie przez wskazane powyżej etapy, zinwentaryzujesz dane osobowe, przeprowadzisz ocenę ryzyka i wprowadzisz odpowiednie środki bezpieczeństwa, znaczną część pracy masz już za sobą, ale konieczne będzie przygotowanie jeszcze innych dokumentów. Nasz prawnik i nasza kancelaria RODO pomoże przygotować Ci checklistę owych dokumentów.
Do najważniejszych dokumentów będą niewątpliwie należały następujące:
Polityka Bezpieczeństwa Danych Osobowych
Polityka Bezpieczeństwa Danych Osobowych powinna być podstawowym dokumentem zawierającym zasady przetwarzania danych osobowych w Twojej firmie. Treść polityki będzie zależała przede wszystkim od specyfiki firmy czy liczby pracowników zaangażowanych w przetwarzanie danych osobowych itd. Mimo to można wskazać podstawowe elementy, które powinieneś zamieścić w treści polityki bezpieczeństwa. W polityce opisujesz przede wszystkim gdzie dane osobowe są przetwarzane (budynki, pomieszczenia, lokale), zasady zabezpieczania danych osobowych, zasady powierzenia przetwarzania i udostępniania danych innym podmiotom, zasady postępowania przy wystąpieniu naruszenia danych, zasady realizacji praw osób, których dane dotyczą oraz wskazujesz kto jest odpowiedzialny za przetwarzanie danych osobowych oraz zasady udzielania upoważnień do przetwarzania danych. Powinieneś określić wzór takiego upoważnienia, którzy może stanowić załącznik do polityki oraz wprowadzić rejestr wydawanych upoważnień.
Instrukcja Zarządzania Systemem Informatycznym
Jednym z wymaganych dokumentów zanim RODO weszło w życie była instrukcja zarządzania systemem informatycznym. Obecnie przepisy RODO wprost takiego wymogu nie wprowadzają, a tym bardziej nie określają treści instrukcji. Jeżeli jednak dane osobowe przetwarzasz w systemie informatycznym, to zgodnie z zasadą rozliczalności, taką Instrukcję należałoby wprowadzić. W Instrukcji Zarządzania Systemem Informatycznym musisz opisać jak wygląda w Twojej firmie przetwarzanie danych w systemie informatycznym, tj. z użyciem jakiego sprzętu (hardware), oprogramowania (software), kto przetwarza dane w systemie informatycznym oraz procedury i instrukcje korzystania z tego systemu.
Inne dokumenty, które musisz wprowadzić to m.in.:
- Klauzule informacyjne,
- Upoważnienia do przetwarzania danych osobowych,
- Ewidencja udzielonych upoważnień,
- Umowy powierzenia przetwarzania,
- Ewidencja zawartych umów powierzenia,
- Polityka prywatności i plików cookies,
- Polityka dotycząca realizacji praw osób, których dane przetwarzasz,
- Rejestr czynności przetwarzania,
- Rejestr naruszeń danych osobowych,
- Wzór zawiadomienia o naruszeniu i o czynnościach podjętych w związku z naruszeniem,
- Raport z przeprowadzonej oceny ryzyka,
- Raporty z audytów i aktualizacji RODO w Twojej firmie.
Jeśli potrzebujesz pomocy i chcesz dostosować swoją działalność do wymogów RODO, zlecić audyt RODO lub wdrożyć RODO od podstaw w firmie, zapraszamy do kontaktu z naszą kancelarią RODO Jedliński, Bierecki i Wspólnicy.
Więcej: https://krpj.pl/specjalizacja/ochrona-danych-osobowych-rodo/