Przepisy unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO) nakładają na administratorów danych osobowych (ADO) szereg obowiązków. Ich szczegółowy zakres zależy każdorazowo od skali działalności przedsiębiorstwa, branży w której funkcjonuje czy kategorii danych które są wykorzystywane. Przepisy rozporządzenia można więc skutecznie wdrożyć jedynie posiadając zarówno wiedzę co do treści RODO, jak i znając specyfikę działalności administratora.
Polityki i procedury
Przygotowując przedsiębiorców do stosowania i przestrzegania zasad wynikających z RODO spotykamy się często z pytaniem jaki jest najważniejszy obowiązek wynikający z rozporządzenia. Odpowiedź nie jest jednoznaczna, bo dla zachowania pełnej zgodności konieczne jest spełnienie wszystkich wymogów wynikających z przepisów. Podstawowym jednak dokumentem regulującym zasady, cele i sposoby przetwarzania danych w organizacji są polityki lub procedury ochrony danych.
Dokument ten powinien regulować podstawowe zasady przetwarzania danych (wynikające m.in. z art. 5 i 24 RODO), określać przesłanki legalizujące przetwarzania poszczególnych kategorii danych osobowych (art. 6 i 9 RODO), zasady realizowania obowiązków informacyjnych (art. 12-14 RODO), rozpatrywania żądań osób fizycznych (art. 15-22 RODO) czy reagowania na naruszenia ochrony danych osobowych (art. 33-34 RODO). Dokument powinien także określać zakresy odpowiedzialności za poszczególne obszary (kluczowa w tym zakresie pozostaje rola Inspektora Ochrony Danych).
Przygotowanie dokumentu regulującego zasady wedle których przetwarzane i chronione są dane osobowe jest jednym z podstawowych obowiązków administratora danych osobowych. Jest on szczególnie istotny w kontekście zasady rozliczalności (art. 5 ust. 2 RODO) – administrator jest bowiem zobowiązany nie tylko do przestrzegania norm wynikających z przepisów RODO, ale także do wykazania i udowodnienia (np. w razie kontroli organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych) wypełniania obowiązków prawnych w tym zakresie.
Pracownicy i współpracownicy
Do podstawowych obowiązków administratorów danych osobowych należy także uregulowanie zasad przetwarzania danych przez pracowników i współpracowników. W tym kontekście należy zwrócić uwagę na kilka aspektów.
W pierwszej kolejności administrator zobowiązany jest do ustalenia zakresu w jakim poszczególni współpracownicy będą mieli dostęp do danych osobowych – zarówno tych przetwarzanych w formie papierowej jak i elektronicznej. Najprościej cel ten osiągnąć poprzez przygotowanie stosownych upoważnień do przetwarzania danych. Lustrzanym odbiciem tych upoważnień są składane przez pracowników oświadczenia o zachowaniu poufności otrzymanych informacji służbowych, w tym informacji stanowiących dane osobowe.
Niezwykle istotnym obowiązkiem administratora w kontekście stosowania przepisów RODO jest także zapewnienie odpowiedniego poziomu świadomości pracowników. W tym zakresie zachęcamy do skorzystania z naszych szkoleń i warsztatów na których omawiamy podstawowe obowiązki personelu oraz wymogi wynikające z działalności w poszczególnych obszarach firmy (HR, marketing, kontakt z klientem, bezpieczeństwo IT itp.) Bez odpowiedniego poziomu wiedzy po stronie pracowników nawet najdoskonalsze procedury pozostają martwe i nie chronią przedsiębiorcy przed odpowiedzialnością za naruszenie przepisów RODO.
Wymagane rejestry
Przepisy RODO (wprost lub pośrednio) nakładają na administratorów danych także obowiązki związane z prowadzeniem określonych rejestrów. Wprost nakaz taki wynika z art. 30 RODO, który nakłada na większość przedsiębiorców obowiązek prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania. Wzory tych rejestrów dostępne są na stronie internetowej polskiego organu nadzorczego (www.uodo.gov.pl), ich prawidłowe wypełnienie wymaga jednak pogłębionej analizy działalności przedsiębiorcy w kontekście rodzajów przetwarzanych danych oraz kategorii osób których dotyczą.
Rejestry czynności przetwarzania to jednak nie wszystko. Obowiązek prowadzenia rejestru naruszeń ochrony danych osobowych wynika wprost z art. 33 RODO – jest to jednej z wielu obowiązków ADO związanych z wykrywaniem i procesowaniem naruszenia ochrony danych osobowych. Zgodnie z zasadą rozliczalności administrator jest ponadto zobowiązany do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych czy rejestru żądań otrzymanych od osób fizycznych których dane przetwarza. Szczegółowy wykaz wymaganych rejestrów zależny jest od rodzaju i skali działania.
Powierzenie przetwarzania danych
Niezwykle ważnym obowiązkiem administratora danych osobowych jest także odpowiednie uregulowanie sytuacji w których dochodzi do powierzenia przetwarzania danych osobowych. Dotyczy to zarówno sytuacji, gdy ADO powierza przetwarzanie danych swoim podwykonawcom, jak i sytuacji w której to klienci powierzają dane na rzecz przedsiębiorcy. W obydwu sytuacjach wymagane jest zawarcie stosownych umów powierzenia (lub podpowierzenia) przetwarzania danych osobowych zgodnie z art. 28 RODO. Umowy te powinny być następnie zarchiwizowane na potrzeby wymogów wynikających z zasady rozliczalności.
Powierzając przetwarzanie danych osobowych ADO nie powinien także zapominać o okresowym audycie u podwykonawców. Zawarcie umowy powierzenia nie zwalnia bowiem przedsiębiorcy z obowiązku dbałości o bezpieczeństwo danych osobowych. W przypadku wykrycia ewentualnego naruszenia przepisów RODO przez procesora (czyli podmiot, któremu przedsiębiorca powierzył przetwarzanie danych osobowych) konsekwencje może ponieść także administrator.
Bezpieczeństwo IT
Administrator danych osobowych jest także zobowiązany do odpowiedniego zabezpieczenia danych osobowych – zarówno tych przetwarzanych w formie papierowej jak i elektronicznej – w systemach i bazach danych. W obecnych czasach większość firm przetwarza dane osobowe w formie elektronicznej. Stosowane systemy do obsługi klienta, sklepy internetowe, programy marketingowe czy mailingowe to tylko niewielki przykład sytuacji, w których ADO korzysta z systemów IT dla efektywnego realizowania celów biznesowych. W każdej z tych sytuacji zmuszony jest jednak jednocześnie do zamieszczenia w tych systemach określonych danych osobowych.
Jednak postępująca cyfryzacja to nie tylko korzyści wynikające z automatyzacji procesów. Wiąże się ona także z dodatkowymi ryzykami po stronie ADO. Każdy miesiąc przynosi bowiem nowe doniesienia o atakach hakerskich, kradzieżach tożsamości czy próbach wyłudzenia danych osobowych. Kary za tego typu zdarzenia mogą być dla administratorów bardzo dotkliwe – w grę wchodzi bowiem nie tylko odpowiedzialność odszkodowawcza czy z tytułu kar administracyjnych (zgodnie z RODO mogą one sięgać nawet do 20 milionów euro), ale także ryzyka związane z utratę reputacji i negatywnym odbieraniem danego przedsiębiorcy. Wszystko to powoduje, że zabezpieczenia infrastruktury teleinformatycznej odgrywają kluczową rolę w prawidłowym realizowaniu wymogów wynikających z przepisów RODO.
Podsumowanie
Nie da się przygotować jednolitego dla wszystkich przedsiębiorców wykazu obowiązków i powinności wynikających z przepisów RODO. Każda firma przetwarza inne dane osobowe, w innych celach i z innymi ryzykami związanymi z działalnością. Przepisy unijnego rozporządzenia kładą w tym zakresie szczególny nacisk na identyfikację ryzyk specyficznych dla branży i profilu działalności ADO oraz zastosowanie środków minimalizujących te ryzyka proporcjonalnych i adekwatnych do zaobserwowanych zagrożeń. Każdy administrator powinien więc przeprowadzić wnikliwą analizę procesów przetwarzania i dopiero po zakończeniu takiego badania podjąć działania wdrożeniowe.
