July 16, 2024

Wdrożenie RODO w organizacji - na czym polega

Dane Osobowe
wdrożenie RODO

W wielkim skrócie: wdrożenie RODO polega na ułożeniu w organizacji zasad przetwarzania danych osobowych, przygotowaniu dokumentów, zidentyfikowaniu ryzyk i uporządkowaniu procesów wewnętrznych. Poniżej - w możliwie prostym języku - opis praktycznego przebiegu wdrożenia.

1. Zebranie informacji o działalności

RODO nie wdraża się „z szablonu”. Najpierw trzeba ustalić między innymi, jakie dane są przetwarzane, gdzie i w jaki sposób. Do tego służy kwestionariusz, który klient uzupełnia przed rozpoczęciem prac. Przykładowe obszary, które sprawdzamy:

  • jakie zbiory danych są tworzone przez klienta,
  • jakie dane są gromadzone w tych zbiorach,
  • jaki jest cel gromadzeni danych,
  • skąd pozyskiwane są dane,
  • jakie są lokalizacje przetwarzania danych, używane systemy informatyczne, dostawcy usług chmurowych,
  • stosowane zabezpieczenia (fizyczne i informatyczne),
  • czy pracownicy używają prywatnego sprzętu,
  • czy jest monitoring wizyjny lub monitoring maili,
  • czy istnieją umowy powierzenia,
  • czy dane są przekazywane poza UE,
  • jakie incydenty dotychczas wystąpiły,
  • czy konieczne jest powołanie IOD.

Dopiero po zebraniu tych danych można przygotować dokumentację zgodną ze stanem faktycznym (ewentualnie przygotować dokumentację, dokonujac jednocześnie "naprawy" stanu faktycznego, jeżeli nie wszystko w organizacji przebiega zgodnie z RODO).

2. Opracowanie dokumentacji wewnętrznej RODO

Po analizie sytuacji, organizacja otrzymuje zestaw dokumentów, które regulują wewnętrzne zasady ochrony danych. Typowy pakiet wygląda następująco:

a) Polityka bezpieczeństwa
Podstawowy dokument opisujący sposób przetwarzania danych w organizacji. Zawiera m.in. zasady nadawania dostępu, przechowywania danych, postępowania z nośnikami, reagowania na incydenty.

b) Instrukcja zarządzania systemem informatycznym
Powiązana z polityką bezpieczeństwa – opisuje działanie systemów, zasady korzystania ze sprzętu i oprogramowania, w tym wymagania dotyczące haseł, kopii zapasowych, szyfrowania.

c) Załączniki i wzory dokumentów, w tym:

  • wzory upoważnień,
  • ewidencja upoważnień,
  • wzory oświadczeń pracowników i współpracowników,
  • wzór umowy powierzenia,
  • procedury zgłaszania naruszeń,
  • rejestry niezbędne w codziennej pracy, o czym dodatkowo poniżej.

d) Rejestr incydentów
Dokument, który pozwala na dokumentowanie naruszeń ochrony danych i podobnych incydentów (niezależnie od tego czy ich waga nakazuje zgłoszenie do PUODO). Pozwala administratorowi na zapewnienie rozliczalności i dokumentuje nie tylko fakt wystąpienia incydentu, lecz również jego przyczyny i podjęte działania naprawcze.

e) Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania
Rejestr czynności przetwarzania to tabelaryczny opis procesów przetwarzania danych: zakres, cele, podstawy prawne, odbiorcy, okresy przechowywania. Dodatkowo przekazywany jest wzór rejestru kategorii czynności przetwarzania - uzupełniany przez procesorów i uwzględniający czynności przetwarzania realizowane na rzecz poszczególnych administratorów.

Przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, chyba, że zajdą określone przesłanki. My jednak zawsze polecamy wdrożenie takich rejestrów dla bezpieczeństwa i porzdku w orgaizacji.

f) Analiza ryzyka
Dokument zawierający ocenę zagrożeń (zdefiniowanych podczas wcześniejszych prac) oraz środki techniczne i organizacyjne stosowane w celu ich ograniczenia. Powinna odzwierciedlać faktyczne ryzyka występujące w organizacji - w toku prac powstaje jej wstępna wersja, która następnie podlega biznesowo technicznej weryfikacji związanej z wykazem stosowanych środków, zidentyfikowanych zagrożeń oraz poziomu ryzyka, które generują.

Całość dokumentacji jest przekazywana jako komplet materiałów gotowych do wdrożenia.

3. Wdrożenie zasad w praktyce

Po otrzymaniu dokumentacji organizacja między innymi:

  • nadaje upoważnienia,
  • wdraża wymagane środki techniczne (np. hasła, szyfrowanie, politykę czystego biurka),
  • aktualizuje lub zawiera nowe umowy powierzenia z dostawcami,
  • koryguje procesy (m.in. tworzenie kopii zapasowych, procedury reagowania na incydenty),
  • szkoli pracowników.

Wdrożenie nie kończy się na podpisaniu dokumentów – RODO wymaga realnej aktualizacji procedur.

4. Co zmienia wdrożenie RODO

Po wdrożeniu organizacja:

  • wie, jakie dane przetwarza i na jakiej podstawie,
  • posiada komplet obowiązkowych dokumentów,
  • ma uporządkowane procesy wewnętrzne,
  • spełnia obowiązki administratora danych zgodnie z RODO i ustawą o ochronie danych osobowych

5. Podsumowanie

Wdrożenie RODO to uporządkowanie procesów, przygotowanie dokumentacji i wprowadzenie realnych zasad bezpieczeństwa. Nie jest to formalność – administrator odpowiada za zgodność procesów z przepisami i musi być w stanie wykazać, że działa zgodnie z RODO (tzw. zasada rozliczalności).

Tak przeprowadzone wdrożenie zapewnia nie tylko zgodność prawną, lecz także bezpieczeństwo danych w codziennej pracy organizacji.

Aleksandra Maciejewicz
Aleksandra Maciejewicz
partner
aleksandra@lawmore.pl
573 808 067

Bądź na bieżąco ze zmianami w prawie

Zapisz się do naszego newslettera

Dziękujemy!
Rejestracja przebiegła pomyślnie.
Ups...twój mail nie może być wysłany!