RODO – jak podejść do wdrożenia założeń dyrektywy w Twojej organizacji.

RODO – jak podejść do wdrożenia założeń dyrektywy w Twojej organizacji.

(RODO z ang. General Data Protection Regulation – GDPR)

Dyrektywa RODO zobowiązuje wiele firm do przeprowadzenia zmian. Dla niektórych wdrożenie RODO jest pierwszym tego typu projektem, dla innych pierwszym wymagającym biegłego posługiwania się nowymi pojęciami, jak Privacy by default*, Privacy by design**, procesor***.

(* Zobowiązanie się do wdrożenia środków zapewniających, że dane osobowe podmiotów są zbierane w minimalnym zakresie, niezbędnym do wykonania konkretnego celu.
**Założenie, zgodnie z którym już na etapie projektowania systemów trzeba uwzględnić potrzebę ochrony danych osobowych, wdrażając odpowiednie środki techniczne oraz organizacyjne pozwalające ją zapewnić.
***Podmiot zewnętrzny, któremu powierzone zostało przetwarzanie danych osobowych.)

Wdrożenie GDPR wydaje się z tych powodów trudne i skomplikowane. Jeśli jednak zastosujemy systematyczną dekompozycję tego zadania, otrzymamy sekwencję kroków, znaną z innych realizowanych projektów. Niniejszy artykuł opisuje proponowaną listę czynności, którą można wykorzystać zarówno do planowania wdrożenia RODO, jak i do weryfikacji takiego planu.

Proces wdrożenia RODO w organizacji

 Zastosowanie zapisów rozporządzenia w konkretnym przedsiębiorstwie wymaga wykonania kilku kluczowych kroków:

Etap 1: Audyt zgodności z RODO 

Dostosowanie procesów w organizacji do zgodności z rozporządzeniem wymaga metodycznego podejścia, zakładającego przede wszystkim kompleksową analizę dotychczasowych procesów biznesowych i zakresu przetwarzanych w nich danych. Dopiero na podstawie audytu zgodności, możemy określić w pełnym zakresie, przetwarzane w organizacji klasy danych osobowych, które będą podstawą do wykonania kolejnych czynności w procesie dostosowania do dyrektywy.

Typowy zakres zadań wykonywanych w ramach audytu zgodności powinien zawierać:

  • Analizę przepływu danych osobowych oraz legalności ich przetwarzania.
  • Analizę dokumentacji obowiązującej w organizacji.
  • Analizę obecnych procesów przetwarzania danych.
  • Systemy wykorzystywane do przetwarzania danych i ich zabezpieczenia – analiza pod kątem przetwarzania danych.
  • Analizę wymagań RODO w odniesieniu do organizacji oraz wypracowanie sposobu ich spełnienia.

Etap 2: Wyniki audytu i zalecenia

Kiedy dokładnie znamy już sytuację wyjściową w przedsiębiorstwie, możemy określić w jakim zakresie zalecenia są już spełnione, a gdzie należy przedsięwziąć dodatkowe środki ochrony danych osobowych, biorąc pod uwagę specyfikę organizacji i charakter przetwarzania. Na tym etapie dysponujemy już opisem przetwarzanych klas danych osobowych niezbędnych do wytworzenia szczegółowej dokumentacji.

Ponieważ we wdrożeniu RODO kluczowe jest nie tylko osiągnięcie zgodności z dyrektywą, ale również utrzymanie tego stanu w kolejnych latach działalności operacyjnej, wymagane są także  zmiany w istniejących procesach biznesowych i systemach informatycznych, które będą uwzględniały podejścia Privacy by default i Privacy by design –  także w przyszłych projektach realizowanych wewnątrz organizacji.

W ramach przygotowania wyników audytu wykonywane są:

  • Opracowanie wyników prac w postaci szczegółowego raportu wraz z zaleceniami i harmonogramem działań naprawczych.
  • Określenie w jakim zakresie organizacja jest zobowiązana stosować RODO w oparciu o specyfikę procesów oraz profil działalności.
  • Opracowanie planu wdrożenia środków i procedur niezbędnych do osiągnięcia zgodności.
  • Oszacowanie kosztów wdrożenia i środków koniecznych dla zapewnienia zgodności.

 Etap 3: Realizacja (wdrożenie RODO)

Mając już dobrze określony zakres danych i procedur wymagających sporządzenia lub aktualizacji, można przystąpić do wykonania pracy dokumentacyjnej dostosowującej ich kształt do wymagań.

Wdrożenie RODO nie polega jednak wyłącznie na zadrukowaniu stosu papieru.  Na etapie realizacji powinniśmy przede wszystkim dokonać uszczelnienia mechanizmów stosowanych wewnątrz firmy, które zahaczają o przetwarzanie danych osobowych. W szczególności, obejmuje to dostosowanie systemów informatycznych oraz stosowanych mechanizmów, takich jak: poczta elektroniczna, serwery plików, m.in. w celu zapewnienia ochrony przed nieuprawnionym dostępem, stworzenie mechanizmów ograniczających dostęp do danych, logowania prób dostępu oraz incydentów naruszenia tej ochrony.

Lista czynności związanych z wdrożeniem RODO może zawierać poniższe punkty:

  • Wdrożenie zaleceń audytowych.
  • Zapewnienie mechanizmów informowania dla zarządu – umożliwiających udowodnienie dochowania należytej staranności.
  • Sporządzenie procedur związanych z zapewnieniem bezpieczeństwa danych oraz obsługą praw podmiotów danych
  • Wdrożenie narzędzi poprawiających bezpieczeństwo procesowania danych osobowych w organizacji, w tym:
    • ograniczających dostęp do wrażliwych zasobów, zawierających takie dane
    • zapewniających bezpieczeństwo danych współdzielonych
    • monitorujących anomalie w ruchu sieciowym i w użyciu stacji roboczych w celu identyfikacji potencjalnych włamań i incydentów
  • Wdrożenie narzędzia wspierającego:
    • rejestrowanie żądań podmiotów danych: o bycie zapomnianym, o sprostowanie danych, o ograniczenie przetwarzania danych, o przeniesienie danych,
    • prowadzenie rejestru czynności przetwarzania danych osobowych,
    • zgłaszanie naruszeń ochrony danych,
    • rejestrację powierzeń przetwarzania danych (ewidencja zdarzeń powierzenia lub odmówienia przekazania danych, uwzględniająca nazwę instytucji oraz przyczynę odmowy).

Etap 4: Weryfikacja konieczności wykonania analizy ryzyka – „Data Protection Impact Assessment”

Przeprowadzanie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze danych w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wykonanie analizy jest polecane nawet wtedy, kiedy nie ciąży na nas prawny obowiązek jej wykonania, w celu wykazania organom nadzoru, że organizacja należycie wykonuje zapisy RODO.

 W ramach tego etapu zaadresowane powinny zostać takie kwestie, jak:

  • Określenie, czy przeprowadzenie DPIA jest wymagane, uwzględniając specyfikę organizacji i przetwarzanych danych.
  • Przeprowadzenie procesu oceny skutków dla ochrony danych DPIA:
    • opracowanie wykazu rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków,
    • przeprowadzenie oceny niezbędności i proporcjonalności danych,
    • wybór metody przeprowadzenia oceny skutków,
    • określenie ryzyk i procedur zarządzania ryzykiem,
    • opracowanie planu okresowych przeglądów.

Szkolenie z RODO – gwarancja wzajemnego zrozumienia

Wykonanie zaleceń opisanych powyżej może wydawać się zadaniem nie do zrealizowania, zwłaszcza dla nie-prawnika czy osoby na co dzień niezajmującej się zagadnieniami ochrony danych osobowych.

Mając na uwadze te wyzwania Altkom Akademia opracowała szkolenie Wdrożenie RODO w organizacji – jak przygotować się na zmianę przepisów o ochronie danych osobowych?. W przystępny sposób opisuje ono zagadnienia i obowiązki wynikające z wejścia w życie rozporządzenia. Uczestnictwo w nim zapewni, że pojęcia pojawiające się w RODO i niniejszym artykule nabiorą konkretnego, precyzyjnego znaczenia i ich zakres stanie się zrozumiały także dla osób dotychczas niezajmujących się ochroną danych osobowych.

W trakcie szkolenia poruszane są zagadnienia:

  1. Istota i zastosowanie Rozporządzenia o Ochronie Danych Osobowych
  2. Podstawowe pojęcia i zasady przetwarzania danych osobowych w oparciu o RODO.
  3. Obowiązek zgodnego z prawem przetwarzania danych osobowych – podstawy prawne przetwarzania danych (w tym zasady zbierania zgód na przetwarzanie danych osobowych, przetwarzanie na podstawie umowy itp.).
  4. Nowe uprawnienia osób, których dane dotyczą.
  5. Nowe zasady wykonywania obowiązków informacyjnych (formułowanie klauzul informacyjnych, nowa treść klauzul informacyjnych, nowe zasady sporządzania klauzul).
  6. Nowe zasady zabezpieczenia przetwarzania danych osobowych.
  7. Inspektor Ochrony Danych – pozycja, zadania, odpowiedzialność i organizacja pracy IOD.
  8. Outsourcing przetwarzania danych osobowych.
  9. Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych (w tym kary finansowe, odpowiedzialność cywilna).
  10. Jak dostosować się do zmian przepisów – praktyczne schematy i procedury działań dostosowawczych.

Szczegóły oferty, terminy i lokalizacje, w których planowane jest przeprowadzenie szkolenia, dostępne są: TUTAJ

Skontaktuj się z nami!

Autor: Kamil Król, analityk w Altkom Software & Consulting

Przydatne linki:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data