Tydzień temu informowaliśmy, że około połowa polskich przedsiębiorstw nie sprostała wdrożeniu RODO. Statystyka, na pierwszy rzut oka, wydaje się niekorzystna. Z drugiej strony, połowa firm poradziła sobie z często skomplikowanymi założeniami Rozporządzenia. Nie podlega jednak wątpliwości, że pozostałe organizacje powinny czym prędzej nadrobić zaległości. Należy przy tym pamiętać, że przystosowanie organizacji do zapisów RODO to dopiero początek. RODO to nieustanna praca, konieczność wzmożonej czujności i wywiązywania się z licznych założeń. Tak, RODO to niekończący się proces.
Wielu przedsiębiorców przyznaje, że nie samo wdrożenie RODO, lecz zmiana podejścia do kwestii ochrony danych osobowych jest najtrudniejsza. Wypracowanie efektywnych schematów zachowań wymaga zgłębienia tematu, zrozumienia go, przeprowadzenia długotrwałych analiz procesów firmowych, znalezienia skutecznych rozwiązań… A później wcielenie tego w życie, u wszystkich pracowników w firmie. Sprawdźmy, o czym przedsiębiorcy muszą pamiętać, by po wdrożeniu założeń Rozporządzania przestrzegać przepisów RODO.
Zawieraj umowy powierzenia danych
Współpracujesz z kancelarią adwokacką? Z pewnością powierzasz jej dane osobowe swoich klientów. Podobnie z biurem rachunkowym, serwisem IT czy dostawcą chmurowych rozwiązań marketingowych. W każdym przypadku, pomiędzy Twoją organizacją, a firmą zewnętrzną, powinna zostać zawarta umowa powierzenia danych. W ten sposób zabezpieczasz dane osobowe Twoich pracowników i klientów. Nie możesz o tym zapomnieć!
Rejestruj czynności przetwarzania
Temat prowadzenia rejestru czynności przetwarzania wraca jak bumerang. Wciąż szczególnie problematyczne, dla wielu rodzimych przedsiębiorców, jest zrozumienie, czy są zobligowane do jego prowadzenia. Niestety (albo i stety!), w większości przypadków – tak. Znaczna część firm musi prowadzić rejestr wszystkich kategorii czynności przetwarzania. Za unikanie obowiązku grożą kary – w przypadku kontroli urzędu nadzorczego, który stwierdzi brak takiego rejestru (choć był wymagany), można spodziewać się grzywny w wysokości do 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa.
Informuj o zmianach, incydentach, naruszeniach
Jeśli myślisz, że mail, który wysłałeś w okolicach 25 maja 2018 r. do wszystkich osób, których dane osobowe przetwarzasz, to wszystko co musisz zrobić by wypełnić obowiązek informacyjny – jesteś w błędzie. To był dopiero początek. Z pewnością nieustannie przetwarzasz dane osobowe, pozyskujesz nowe informacje, zachodzą incydenty i zmiany – wszystkie te sytuacje wymagają od Ciebie wywiązania się z obowiązku informacyjnego.
Prowadź rejestr naruszeń ochrony danych osobowych
O incydentach wspomnieliśmy w poprzednim punkcie. Rozwijając temat – gdy w Twojej organizacji dojdzie do naruszenia ochrony danych, musisz wdrożyć właściwą, wcześniej zdefiniowaną procedurę. Poza odpowiednią dokumentacją naruszenia, musisz przewidzieć skutki zajścia, podjąć kroki zabezpieczające, powiadomić osobę o zdarzeniu. A wszystko to, co robisz w związku z wystąpieniem naruszenia, musisz zawrzeć w rejestrze naruszeń, by w razie kontroli urzędu nadzorczego móc przedstawić szczegóły sytuacji.
Nie zapomnij o dokumentacji
Jak dobrze wiesz, przygotowanie dokumentacji RODO jest jednym z elementów wywiązania się z obowiązku wdrożenia Rozporządzenia w firmie. Niestety, wielu przedsiębiorców traktuje dokumentację RODO jako stos papierów, których życie zakończyło się wraz z postawieniem ostatniej kropki. To błąd. Dokumentacja RODO musi żyć – to właśnie tam znajdziesz wszystkie procedury, instrukcje, rejestry, raporty czy plany, które musisz na bieżąco aktualizować i uzupełniać.
Pozyskuj zgody
By legalnie przetwarzać dane osobowe potrzebujesz na to stosownej zgody. Przypomnijmy sobie czym, w świetle RODO, jest zgoda: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;”. Pamiętaj również, by posiadać dowód uzyskania zgody – to po Twojej stronie leży udowodnienie, że przetwarzasz dane osobowe w sposób prawidłowy. Uwaga! Uzyskanie zgody przez milczenie, domyślne zaznaczone okienek (z treścią zgody) czy brak konieczności podjęcia działania przez zainteresowanego (domyślne wyrażenie zgody) są błędne.
Pamiętaj (i przestrzegaj!) o prawach obywateli
Wejście w życie RODO spotkało się ze sporym entuzjazmem głównie ze strony „zwykłych” obywateli. Prawo do bycia zapomnianym, prawo do sprzeciwu czy przenoszenia danych, dla nas, czyli przedsiębiorców, mogą być problemem, zaś dla osób fizycznych nieprowadzących działalności sporym udogodnieniem. Nie zmienia to faktu, że należy je respektować.
RODO to nieustanny proces, który nigdy się nie kończy…
Wymienione wyżej przykłady to jedynie zalążek obowiązków do spełnienia, które RODO postawiło przed organizacjami. Trzeba pamiętać również o szkoleniach pracowników, nieustannej kontroli zasobów, na których przechowywane są dane osobowe, prowadzenie oceny skutków ochrony danych (DPIA)… Wymieniać można niemal bez końca. Jednak cel tego tekstu był inny – chcieliśmy uzmysłowić firmom, że wdrożenie RODO to dopiero początek drogi pod szyldem RODO. W związku z powyższym trudno wyobrazić sobie bezstresowe funkcjonowanie organizacji (groźba ogromnych kar za nieprzestrzeganie RODO!), która nie rozumie treści Rozporządzenia i – co równie istotne – nie przestrzega jego zapisów. Pamiętajmy – 50% przedsiębiorstw, które poradziły sobie z wdrożeniem RODO są dopiero na początku drogi – cała „zabawa” zaczyna się po przystosowaniu. 🙂