AI BLOG

2018-03-07

RODO – Plan działania

RODO – BĄDŹ W GOTOWOŚCI

10 – STOPNIOWY PLAN DZIAŁANIA
DLA KAŻDEJ ORGANIZACJI

Z cyklu RODO posted by Renata Warchoł-Lewicka

Można GDPR (RODO) nie lubić, nie dopuszczać do siebie myśli o jego istnieniu, traktować jak „hot potatoe”, można otwierać i zamykać plik z Rozporządzeniem z głębokim przekonaniem że „kiedyś się tym zajmę”, ale nie można nie wiedzieć że dotyczy

NAJBARDZIEJ WARTOŚCIOWEGO DOBRA DZISIEJSZYCH CZASÓW – DANYCH,
a prawa ich dotyczące będą większe niż kiedykolwiek wcześniej, zaś
związane z nimi OBOWIĄZKI dotyczą KAŻDEJ ORGANIZACJI, SPÓŁKI, JEDNOOSOBOWEGO PRZEDSIĘBIORCY, FUNDACJI, STOWARZYSZENIA ITP

 

Szybki postęp techniczny i globalizacja przyczyniły się do zwiększenia skali udostępniania i wykorzystywania danych osobowych. GDPR (The Europen Union’s General Data Protection Regulation) nowa regulacja w zakresie ochrony danych osobowych rezydentów EU wejdzie w życie w maju 2018 r. i wtedy nie będzie już czasu na zastanowienie czy poszukiwania najlepszych rozwiązań. Rozporządzenie bowiem stosuje się bezpośrednio i nie wymaga implementacji w formie ustawy.
Część organizacji podjęła już kroki celem wdrożenia właściwych procedur, duża część jeszcze poszukuje dobrej motywacji do zajęcia się tematem albo odkłada temat na po weekendzie majowym. Niektórzy ciągle myślą, że ich to nie dotyczy.

KARY ZA NARUSZENIE SĄ DOTKLIWE (w zależności od przypadku od 10 milinów/ 20 milionów EUR, a dla przedsiębiorstw 2-4% globalnego rocznego obrotu), czasu coraz mniej, a świadomość osób, których dane są przetwarzane z każdym dniem rośnie.
Jakkolwiek żadna dobra konferencja, szkolenia, warsztaty czy artykuły nie zastąpią solidnego audytu prawnego i prawnych konsultacji w ramach konkretnej organizacji warto przyjrzeć się kilku podstawowym aspektom, żeby przynajmniej ustalić gdzie jesteśmy i ile jeszcze przed nami. Poniżej krótka check-lista z 10 najważniejszymi krokami.

10 – STOPNIOWY PLAN DZIAŁANIA
DLA KAŻDEJ ORGANIZACJI

1. PODNIESIENIE ŚWIADOMOŚĆ WŚRÓD ZESPOŁU

W ramach danej organizacji wiele osób czy zespołów na rożnych poziomach ma do czynienia z danymi osobowymi. Istotne jest zadbanie, aby co najmniej osoby decyzyjne i kluczowi managerowie mieli świadomość, że zmieniają się regulacje i potrafili przewidywać wpływ oraz potencjalne ryzyko związane z GDPR dla danej jednostki.
To bardzo ważne, szczególnie w dużych organizacjach, gdzie przepływ informacji i podjęcie decyzji wymaga czasu, a czas ucieka. Nie zostawiaj tego na ostatnią chwilę.

2. IDENTYFIKACJA DANYCH I SPOSÓBU ICH PRZETWARZANIA – AUDYT DANYCH I ROADMAPA SYSTEMU OCHRONY

Organizacje, w których funkcjonowały procedury GIODO (obecnie obowiązująca ustaw o ochronie danych osobowych) będą mieć mniej pracy, ale to nie znaczy że mają nie robić nic. Lifting procedur jest potrzebny i przejrzenie ich w kontekście GDPR również.
Organizacje, które do tej pory nie wdrożyły żadnych procedur staną przed prawdziwym wyzwaniem i będą potrzebować więcej czasu. Niezbędny będzie audyt przetwarzanych danych w pełnym zakresie i opracowanie roadmapy procesu wdrożenia nowego systemu. Audyt pozwoli ustalić jakiego rodzaju dane są przetwarzane, w jaki sposób i jakie ryzyka się z tym wiążą.

ZWRÓĆ UWAGĘ ŻE DANE OSOBOWE TO SZEROKI KATALOG:
Wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności tj.: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, dane biometryczne, dane genetyczne czy dotyczące stanu zdrowia.

W TRAKCIE AUDYTU ZWRÓĆ UWAGĘ:

– Jakie dane osobowe są przechowywane i gdzie (może np.: na tablicy informacyjnej albo w intranecie);
– Jaki jest cel zbierania danych (może jedynym celem jest…brak celu?)
– Jakie jest zakres gromadzonych danych (może ma się nijak do celu?)
– Skąd pochodzą;
– Jak zostały zebrane;
– Komu i w jaki sposób są udostępniane (transferujesz dane? dzielisz je z innymi podmiotami np.: w ramach grupy)
– Jak długo są przechowywane (wierz mi z;
– Jakich używasz mechanizmów aby dane zabezpieczyć;
Zidentyfikuj wszystkie źródła danych i wszystkie typy powiązań danych. Opracuj roadmapę, które obszary ochrony mają największe znaczenie w Twojej działalności i nadaj im priorytety. Może to być duży projekt, więc rozważ zlecenie tego specjalistom.

3. UPDATE ZARZĄDZANIA ZGODĄ NA PRZETWARZNIE DANYCH

Zweryfikuj podstawy prawne przetwarzania danych, wśród nich umowy i zgody na przetwarzanie danych.

Przede wszystkim zweryfikuj jak uzyskujesz, utrwalasz i zarządzasz zgodą na przetwarzanie danych. Powyższe pozwoli Ci ustalić czy W OGÓLE masz w tym zakresie jakieś procedury czy nie. Jeśli nie tworzysz je od nowa zgodnie z GDPR, jeśli masz należy je odświeżyć jeśli nie spełniają wymagań GDPR.

PAMIĘTAJ!
ZGODA – musi być DOBROWOLNA, KONKRETNA, ŚWIADOMA I JEDNOZNACZNIE OKAZANA w formie oświadczenia lub wyraźnego działania potwierdzającego zgodę. Nie możne być domniemana (wynikać np.: z bezczynności).

PAMIĘTAJ!
To na tobie spoczywa obowiązek wykazania, że posiadasz zgodę.

4. UPDATE ZARZĄDZANIA KOMUNIKACJĄ O SPOSOBIE PRZETWARZANIA DANYCH

Pozyskując dane będziesz zobowiązany do udzielanie szeregu informacji wskazanych w przepisach (m.in. swoich danych jako administratora, informacji o celu i okresie przetwarzania danych, odbiorcach danych osobowych, prawie do żądania dostępu do danych, prawie do cofnięcia zgody, informacji o transferze danych poza granice EU).
 
Ponadto jako organizacja będziesz musiał być responsywny w przypadku zgłoszenia żądania udzielenia informacji. Pytanie czy jesteś?

Odpowiedzi na ewentualne żądania w tym zakresie będziesz musiał udzielać bez zbędnej zwłoki, maksymalnie w terminie miesiąca.

W większości przypadków nie będziesz mógł pobierać opłat za udzielanie informacji osobie której dane dotyczą.

W niektórych przypadkach będziesz mógł odmówić udzielenia informacji lub pobrać rozsądną opłatę, licząc się jednak z prawem skargi.

5. UPDATE ZARZĄDZANIA PRAWEM DOSTĘPU DO DANYCH

Jako organizacja będziesz musiał być responsywny również w tym obszarze udzielając informacji wskazanych w GDPR oraz przekazując kopie danych osobowych podlegających przetwarzaniu.

6. WERYFIKACJA ZARZĄDZANIA PRAWEM DO SPROSTOWANIA, PRAWEM SPRZECIWU ORAZ USUNIĘCIA DANYCH

Jako organizacja musisz być przygotowany na realizacji prawa do sprostowania danych, prawa sprzeciwu co do dalszego przetwarzania danych oraz prawa „bycia zapomnianym” tj.: niezwłocznego usunięcia dotyczących danej osoby danych oraz informowania o tym.

7. WERYFIKACJA ZARZĄDZANIA RYZYKIEM NARUSZENIA DANYCH

Jako organizacja musisz być przygotowany na raportowanie właściwemu organowi nadzorczemu każdego przypadku naruszenia danych osobowych, bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia.

Zgłoszenie musi spełniać określone wymogi formalne.

W określonych przypadkach będziesz musiał też zawiadomić osobę, której naruszenie dotyczy.

8. UPDATE ALBO OPRACOWANIE ORAZ WDROŻENIE WŁAŚCIWYCH POLITYK OCHRONY DANYCH

Opracowanie oraz wdrożenie jasnych i precyzyjnych polityk i procedur ochrony danych osobowych to kolejny krok. Lista procedur i polityki w ramach poszczególnych organizacji może być dłuższa lub krótsza w zależności od wyników audytu.
Organizacje, w których funkcjonowały do tej pory procedury GIODO (obecnie obowiązująca ustaw o ochronie danych osobowych) będą musiały przejrzeć stosowane procedury, zaktualizować je pod kątem nowych wymagań i zaimplementować zmiany. Pozostałe opracować nowe.
PAMIĘTAJ O ZAIMPLEMENTOWANIU W NICH PRAWA DO:
– BYCIA INFORMOWANYM
– DOSTĘPU DO DANYCH
– SPROSTOWANIA DANYCH
– BYCIA ZAPOMNIANYM
Nie zapomnij przeszkolić swoich pracowników jak mają je stosować. To że wiedzą że gdzieś w intranecie są jakieś procedury to za mało, powinni je znać i stosować.

9. SPRAWDŹ CZY MUSISZ POWOŁAĆ DPO (DATA PROTECTION OFFICER) – INSPEKTORA DANYCH OSOBOWYCH

Poza organami lub podmiotami publicznymi każda organizacja, której główna działalność polega na: operacjach przetwarzania, które ze względu na swój charakter, zakres, cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę albo na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa JEST ZOBOWIĄZANA POWOŁAĆ INSPEKTORA OCHRONY DANYCH.

10. ASPEKT MIĘDZYNARODOWY – ZIDENTYFIKUJ LEAD AUTHORITY

Jeśli Twoja organizacja prowadzi działalność na terenie więcej niż jednego państwa UE albo przetwarza dane w ramach działalności jednej jednostki, ale które znacznie wpływa lub może wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim („przetwarzania transgranicznego”), podlegasz urzędowi ochrony właściwemu dla jednostki głównej.