Ostatnia prosta do RODO. Biegniesz sprintem, truchtasz, czy dopiero wiążesz buty? [praktyczny e-book o RODO]

RODO to bardzo ciekawy akt prawny. Z jednej strony to jedna z największych, najbardziej szeroko zakrojonych regulacji europejskich, dotykająca wszystkich przedsiębiorców (zarówno spółki, jak i osoby fizyczne prowadzące działalność gospodarczą), organizacje pozarządowe i inne podmioty, takie jak szkoły, urzędy, wspólnoty mieszkaniowe, słowem – każdego, kto przetwarza jakieś dane osobowe, w celu innym, niż czysto prywatny. Z drugiej strony – pomimo przeszło dwuletniego okresu na dostosowanie się do jego wymagań (RODO formalnie weszło w życie 4 maja 2016 roku) – wciąż bardzo wiele podmiotów nie zrobiło tego lub w ogóle o nim nie słyszało.

A przecież jest, co robić. Nowe przepisy wymagają od podmiotów przetwarzających dane osobowe zmiany sposobu myślenia o tych informacjach. RODO przewiduje konieczność stałego monitorowania prowadzonych operacji przetwarzania i oceniania ryzyka naruszeń z perspektywy interesów osób, których dotyczą dane osobowe. Oceniając prawdopodobieństwo wystąpienia incydentu bezpieczeństwa danych i wagę jego potencjalnych skutków, podmioty przetwarzające dane osobowe powinny wdrożyć odpowiednie środki minimalizujące zidentyfikowane ryzyko.

GIODO doradza jakie dane trzeba chronić w ramach RODO

Od czego zacząć?

Żeby dojść do tego etapu trzeba jednak najpierw uporządkować sprawy związane z przetwarzaniem danych w organizacji. Przede wszystkim należy zidentyfikować i skatalogować dane osobowe, które się przetwarza, pamiętając o tym, że przetwarzanie to również samo przechowywanie. Kolejnym krokiem jest zbadanie ścieżek przepływu danych – kto ma do nich dostęp, do kogo są przesyłane i w jakim celu. Dalej konieczne jest sprawdzenie, czy organizacja dysponuje podstawą prawną do przetwarzania tych danych – ich katalog wskazuje RODO, począwszy od zgody osoby, której dotyczą, przez niezbędność ich przetwarzania do wykonania umowy, a skończywszy na uzasadnionym interesie administratora. Następnie powinniśmy ocenić, czy posiadane dane osobowe są potrzebne do realizacji jakiegoś celu, czy po prostu sobie „leżą”, czekając, aż się na coś przydadzą. RODO nie pozwala na takie trzymanie danych w nieskończoność, wprowadzając zasady ograniczenia przetwarzania, zarówno w odniesieniu do zakresu danych, jak i czasu ich przechowywania, które powinny zawsze odpowiadać celowi przetwarzania.

Taka analiza powinna doprowadzić nas do stworzenia uporządkowanego rejestru posiadanych danych osobowych, na którym można dopiero rozpocząć prawdziwą pracę. Jej zakres zależeć będzie w dużej mierze od rozmiaru podmiotu przetwarzającego dane, wolumenu danych i stopnia skomplikowania operacji wykonywanych na tych danych. Mniejsza organizacja będzie miała mniej do roboty, większa – więcej. Działania do podjęcia mogą obejmować aneksowanie umów z podmiotami, którym zlecamy przetwarzanie naszych danych osobowych. RODO stawia bardzo szczegółowe wymogi dla umów powierzenia przetwarzania. Do tego dochodzi zmiana wewnętrznych procedur postępowania z danymi osobowymi, tak, by obejmowały one np. konieczność szybkiego reagowania na wnioski osób, których dotyczą dane osobowe. Uprawnienia tych osób pod RODO są szerokie – mogą żądać np. udostępnienia im przetwarzanych przez nas, odnoszących się do nich danych, realizacji „prawa do bycia zapomnianym” lub żądania zaprzestania wysyłania do nich treści marketingowych. Procedura powinna obejmować też reagowanie na incydenty bezpieczeństwa, w tym zgłaszanie ich do organu nadzoru, a w określonych wypadkach również do samych poszkodowanych. Jeśli przetwarzamy dane w systemach informatycznych – te same względy mogą wymagać od nas wprowadzenia modyfikacji do stosowanych przez nas narzędzi.

Informacje dla użytkownika

Organizacja staje też w obliczu wyzwania, jakim jest informowanie osób, których dotyczą dane, o wielu aspektach planowanego przez nią przetwarzania jej danych osobowych. RODO wymaga, żeby osoba ta otrzymała komplet informacji, pozwalający jej na samodzielną ocenę ryzyka, z jakim wiąże się udostępnienie nam jej danych. Powinna więc otrzymać jasny i zrozumiały komunikat o tym, kto odpowiada za jej dane, w jakim celu i jak długo zamierza je przetwarzać, na jakiej podstawie, komu zamierza je przekazać i czy przypadkiem nie wyśle ich poza granice Unii, gdzie RODO nie sięga. Powinna się też dowiedzieć o tym, jakie prawa jej przysługują i jak może je realizować. Jeśli jej dane wykorzystywane są do profilowania – powinna być o tym osobno poinformowana, z wyjaśnieniem na czym polega profilowanie i jak może na nią wpłynąć. I powinna móc się na to nie zgodzić.

Dwa tygodnie na przygotowanie się do RODO to niewiele. Większe podmioty mogą mieć problem, by zdążyć z kompleksowym wdrożeniem nowych rozwiązań, mniejszym pójdzie zdecydowanie łatwiej. Żeby skończyć trzeba jednak zacząć, a każde działanie przybliżające działanie organizacji do zgodności z przepisami to dodatkowy punkt na jej korzyść, który zostanie wzięty pod uwagę w przypadku kontroli organu nadzorczego. Ostatecznym celem RODO jest zapewnienie każdemu i każdej z nas kontroli nad naszymi danymi i większego bezpieczeństwa, związanego z ich przetwarzaniem. Im szybciej przyłączymy się do grona organizacji, które rzetelnie przetwarzają dane osobowe, tym szybciej osiągniemy ten pożądany stan. A tymczasem, jeśli jeszcze nie jesteś RODO-ready, najwyższa pora zakasać rękawy i wziąć się do roboty.

Krzysztof Muciak, associate, Jankowski, Stroiński i Partnerzy JSLegal Adwokacka Spółka Partnerska

Firma Prowly, wspólnie z Szapiro Schwann Public Relations, kancelarią prawną JSLegal oraz Fundacją Panoptykon, przygotowała specjalny e-book pt. "RODO w PR: jak wdrożyć je w Twojej firmie?". Poradnik skierowany jest do wszystkich firm, agencji i organizacji, które są objęte regulacjami wynikającymi z RODO. Portal Wirtualnemedia.pl jest partnerem medialnym projektu. E-book do pobrania w tym miejscu.