Wdrażanie RODO cz.2 – 10 kroków do zgodności z RODO

RODO, GDPR

Proces wdrażania RODO nie może zakończyć się sukcesem bez zastosowania przemyślanej metodyki. W związku z tym w dzisiejszym wpisie przybliżę propozycję etapów wdrażania nowych przepisów o ochronie danych osobowych.  Świadomość kolejnych kroków jakie należy wykonać jest dobrym punktem wyjścia dla wszystkich tych, którzy chcą przystosować swoją organizację do wymogów Rozporządzenia.  

ETAP 1. Świadomość przetwarzanych danych osobowych (inwentaryzacja danych)

Rozpoczęcie procesu wdrażania RODO wymaga wiedzy na temat tego jakie dane osobowe w ogóle są przetwarzane przez naszą organizację. Aby to określić warto odpowiedzieć sobie na następujące pytania: Jakimi danymi dysponujemy? Jaką formę one przyjmują? Skąd pochodzą? W jakich procesach one uczestniczą? a także komu się je udostępnia?

Na tym etapie należy pamiętać, że nie wszystkie dane osobowe przyjmują postać strukturalną (jak ma to miejsce w bazach danych, katalogach itp.) – część z danych osobowych jakie przetwarzamy ukryta jest pod postacią danych nieustrukturyzowanych (tego typu dane możemy znaleźć m.in. na wewnętrznych platformach komunikacyjnych bądź na skrzynkach mailowych).

ETAP 2. Analiza procesów angażujących dane osobowe

Drugi etap skupia się na dokładnej identyfikacji procesów, które angażują dane osobowe. Punktem wyjścia jest etap pierwszy, gdzie staraliśmy się ustalić połączenia przetwarzanych danych z procesami, jakie ich wymagają (dodatkowo jednak warto upewnić się w tym punkcie, czy nie przeoczyliśmy jakichś procesów).

Po ostatecznym ustaleniu interesujących nas procesów, musimy odpowiedzieć sobie na pytanie, czy i w których z nich nasza firma działa jako administrator, a w których jedynie jako podmiot przetwarzający.

Etap drugi powinien zakończyć się sformułowaniem listy procesów, w ramach których przetwarzamy dane osobowe. Zaś każdy proces powinien zostać dokładnie opisany przy wykorzystaniu dużej ilości zmiennych.

Na tym etapie przydatne okazują się kompetencje z zakresu zarządzania procesowego (pozwalają na lepszą identyfikację i charakterystykę organizacyjnych procesów). Trudne do przecenienia jest również graficzne odwzorowanie analizowanych procesów.

ETAP 3. Weryfikacja poziomu zgodności z RODO

Gdy ustaliliśmy już jakie dane osobowe zaangażowane są w konkretne procesy, a także znamy ich przebieg, czas na wstępne zweryfikowanie poziomu zgodności naszej organizacji z wymogami RODO.

W tym celu określić należy przynajmniej:

– podstawę przetwarzania konkretnych danych (czy jest ona zgodna z RODO). Należy pamiętać, że jeśli przetwarzanie danych odbywa się na podstawie zgody osoby, której dane dotyczą musi ona spełniać zasady określone w Rozporządzeniu (Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych(…)). Przy przetwarzaniu danych na podstawie zgody, zgodnie z zasadą rozliczalności, podmiot musi być również w stanie wykazać, że taką zgodę otrzymał.

– czy nie przetwarzamy danych zbędnych dla naszej działalności (zasada minimalizacji).

– czy nasza organizacja wywiązuje się z obowiązku informacyjnego jaki narzuca Rozporządzenie.

ETAP 4. Plan wdrożenia

Znając już swoją sytuację i widząc ewentualne braki w odniesieniu do obowiązków wynikających z RODO czas na sporządzenie planu dostosowania niezbędnych elementów naszej działalności.

Plan powinien zawierać co najmniej: cele jakie sobie stawiamy, listę kontrolną czynności prowadzących do osiągnięcia założeń, harmonogram działań (do jego ustalenia warto skorzystać z wykresu Gantta) oraz listę sił i środków niezbędnych do realizacji tego etapu.

Na tym etapie pojawia się również pytanie: czy powoływać Inspektora Ochrony Danych (nowa funkcja zastępująca ABI)? Dla części organizacji jest to obowiązkowe (muszą to zrobić np. podmioty publiczne), dla innych rozwiązanie to ma charakter fakultatywny.

ETAP 5 .Wprowadzenie podejścia opartego na ryzyku  

Diagnoza sytuacji organizacji w zakresie ochrony danych, ustalenie planu dostosowania poszczególnych elementów organizacji i działania mające na celu osiągnięcie tego celu powinny zostać wsparte podejściem opartym na ryzyku.

O co tutaj chodzi? Najprościej rzecz ujmują musimy przeanalizować pod kątem ryzyka każdy ze scharakteryzowanych wcześniej procesów. Działaniami niezbędnymi do wprowadzenia tego podejścia jest dla każdego z procesów: określenie zagrożeń, oszacowanie poziomu ich negatywnego wpływu na przetwarzane przez nas dane osobowe, oszacowanie prawdopodobieństwa urzeczywistnienia tych zagrożeń, ustalenie poziomu ryzyka (negatywny wpływ zagrożenia x prawdopodobieństwo jego wystąpienia). Ustalony tak poziom ryzyka kategoryzujemy (mapujemy) – dzięki czemu wiemy, które ryzyka w określonych procesach są niedopuszczalnie wysoki i trzeba je jakoś ograniczyć, a które nie stanowią specjalnego niebezpieczeństwa i nie należy im poświęcać wiele uwagi.

Musimy jednak pamiętać, że RODO nakazuje aby proces zarządzania ryzykiem był ciągły. A więc nie należy przeprowadzić takiej analizy „raz na zawsze”, ale trzeba ją aktualizować (szczególnie w momentach zmian wpływających na poziom ryzyka bądź zmian w strukturze samych procesów).

ETAP 6. Dobór zabezpieczeń w oparciu o analizę ryzyka

Gdy już skategoryzujemy ryzyka dotyczące przetwarzanych przez nas danych musimy wybrać sposoby ich ograniczenia. Wybór potencjalnych rozwiązań jest bardzo szeroki (mamy do wyboru środki o charakterze technicznym i organizacyjnym oraz oczywiście ich różne kombinacje) i powinien ściśle odnosić się do natury zidentyfikowanych ryzyk.

Co istotne, w razie kontroli bądź w przypadku naruszenia musimy być w stanie wiarygodnie wytłumaczyć przed organem nadzorującym wybór zastosowanego zabezpieczenia bądź to, że mimo oczywistego niebezpieczeństwa nie podjęliśmy żadnych działań zaradczych.

ETAP 7. Przeprowadzenie procedury oceny skutków dla ochrony danych

Przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe dla procesów przetwarzania, które rozpoczęły się przed 25 maja 2018r. Niemniej GIODO rekomenduje przeprowadzenie tej procedury także dla takich procesów.

Ocena ta obejmuje co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1;

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

ETAP 8. Przystosowywanie pozostałych elementów organizacji

Etap ten jest niejako dopełnieniem procesu wdrażania RODO. Powinniśmy tutaj przyjrzeć się wszystkim pozostałym obowiązkom wprowadzanym przez Rozporządzenie, które mają wpływ na naszą organizację.

Na tym etapie na szczególną uwagę zasługują takie elementy jak np.:

Powierzenie przetwarzania danych – administrator jest zobowiązany do wyboru takiego procesora, który zapewni przestrzeganie RODO, ponadto administrator powinien być zdolny do sprawdzenia podmiotu, któremu powierza dane do przetwarzania, z kolei procesor musi być gotowy do wykazania administratorowi, że zapewni odpowiedni poziom ochrony powierzony mu danych. Co więcej umowa w oparciu o którą powierzane są dane musi spełniać wymogi zawarte w RODO (umowa taka określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (…))

Zdolność do zgłaszania incydentów naruszenia danych – określenie procedury raportowania wewnętrznego o tego typu incydentach oraz raportowania o nich organowi nadzorczemu – jest to niezbędne gdyż Rozporządzenie narzuca relatywnie krótki czas na zgłoszenie naruszenia (72 godziny od czasu stwierdzenia naruszenia).

Zdolność do wykonywania praw osób, których dane dotyczą – w ramach tego punktu organizacja musi przygotować się na realizację praw gwarantowanych osobie, której dane dotyczą. Najistotniejsze w tym kontekście są: prawo do bycia zapomnianym oraz prawo do przenoszenia danych. Osiągnięcie takiej zdolności wymaga nie tylko stworzenia i wdrożenia odpowiednich procedur organizacyjnych, ale także przystosowania systemów informatycznych.

Rejestr czynności przetwarzania danych – administrator i podmiot przetwarzający są zobligowani do prowadzenia rejestru czynności przetwarzania. Wypełnienie tego obowiązku wiąże się ze stworzeniem szablonu takiego rejestru w odniesieniu do zidentyfikowanych procesów i aktualizowaniu go.

ETAP 9. Szkolenie personelu

Cóż z tego, że stworzymy świetną koncepcję przystosowania naszej organizacji do nowego prawa ochrony danych oraz zbiór wymaganych dokumentów, jeśli na etapie praktyki większość założeń nie zostanie zastosowanych. W związku z powyższym, na etapie wdrażania RODO, nie możemy zapomnieć o przeszkoleniu członków organizacji, będących de facto na co dzień realizatorami obowiązków ciążących na firmie czy instytucji. Szkolenia te nie powinny tylko sprawdzać się do zapoznania pracowników z nowymi procedurami (np. dotyczącymi zasad postępowania w przypadku żądania wykonania prawa do bycia zapomnianym), ale mogą także być elementem redukowania określonych rodzajów ryzyk zagrażających przetwarzanym danym (np. szkolenia z zakresu obrany przed atakami socjotechnicznymi jest jednym z najskuteczniejszych metod ochrony przed tego typu zagrożeniem).

ETAP 10. Audyt zakończenia

W ostatnim etapie procesu wdrażania musimy odpowiedzieć sobie na zasadnicze pytanie, czy nasza organizacja na dzień dzisiejszy spełnia wymogi, jakie narzuca na nią Ogólne Rozporządzenie o Ochronie Danych Osobowych? W tym celu przydatny okazuje się audyt zakończenia, który pomoże nam zdiagnozować ewentualne niedociągnięcia.

Po wdrożeniu RODO należy pamiętać, że wiele z wynikających z niego obowiązków ma charakter permanentny, w związku z czym przez cały czas musimy proaktywnie podchodzić do kwestii ochrony danych osobowych: monitorując ich przetwarzanie i reagując w razie potrzeby.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

4 × one =