THINK MICE - RODO. Jak przygotować się do zmian?

RODO. Jak przygotować się do zmian?

Od wejścia w życie rozporządzenia RODO dzielą nas już niespełna cztery miesiące. Przedsiębiorcy zatrudniający pracowników, współpracujący z klientami, dostawcami, partnerami, którym udostępniają lub powierzają dane osobowe, jeśli jeszcze nie zaczęli procesu wdrożenia RODO, będą musieli za chwilę zmierzyć się z tym wyzwaniem w swoich organizacjach.

W niniejszym artykule podsumowujemy, co wziąć pod uwagę w procesie wdrożenia RODO i dlaczego nie można zignorować obowiązków, jakie nakłada na nas unijny ustawodawca.

RODO nie wprowadza generalnego zakazu przetwarzania danych osobowych, które posiadaliśmy do tej pory w swoich zbiorach. Co więcej, pewne generalne zasady dotyczące ich przetwarzania czy kategorie danych pozostaną niezmienne. To, co zmienia się na pewno, to zmiana „filozofii” podejścia do ochrony danych osobowych, stawiająca na pierwszym miejscu wysokie standardy ochrony praw i wolności osób fizycznych, do których przynależą dane osobowe. Przedsiębiorca wdrażający RODO w swojej organizacji musi postępować zgodnie z tymi standardami i to już w fazie projektowania ochrony.

Każdy przedsiębiorca powinien w pierwszej kolejności dokonać inwentaryzacji występujących w jego organizacji procesów biznesowych, w ramach których przetwarza dane osobowe. Można porównać ten proces do pewnego rodzaju „remanentu” wszystkich operacji, które angażują dane osobowe. Bez weryfikacji stanu faktycznego posiadanych procesów trudno będzie bowiem przedsiębiorcy realizować „rodowskie” uprawnienia podmiotów danych. Na tym etapie przedsiębiorca powinien przeprowadzić wewnętrzną, wstępną ocenę ryzyka i zgodności przetwarzania danych osobowych z zasadami statuowanymi przez RODO, w ramach każdego procesu, w oparciu o przykładowe pytania z check-listy:
Jaki jest cel przetwarzania danych i czy mogę wskazać podstawę prawną ich przetwarzania? (zasada zgodności z prawem i rzetelności)
Czy rzeczywiście przetwarzam dane w podanym, a nie innym celu? (zasada ograniczonego celu)
Czy zebrane dane są adekwatne do wskazanego przeze mnie celu? (zasada minimalizacji danych)
Czy dane osobowe są prawidłowe i aktualne? (zasada prawidłowości)
Czy dane osoby przechowywane w formie umożliwiającej jej identyfikację są mi jeszcze potrzebne? (zasada ograniczenia przechowywania)
Czy posiadam takie zabezpieczenia, które gwarantują ochronę danych przed ingerencją, utratą czy uszkodzeniem? (zasada integralności i poufności)

Odpowiedź na powyższe pytania może doprowadzić do konkluzji, że przy uwzględnieniu charakteru, kontekstu, zakresu i celów przetwarzania danych, ryzyko naruszenia praw i wolności osób fizycznych plasuje się na „standardowym” poziomie i przedsiębiorca może przystąpić do wdrażania odpowiednich środków technicznych i organizacyjnych (w tym odpowiednich polityk ochrony danych), dostosowując występujące u niego procesy przetwarzania do wymagań RODO.

Jeśli jednak ocena ryzyka przeprowadzona na wstępnym etapie „remanentu” wykaże wysokie prawdopodobieństwo naruszenia praw lub wolności, wtedy niezbędna będzie formalna ocena skutków dla ochrony danych osobowych. Procedura ta może opierać się na zbliżonej metodologii wykorzystanej na etapie wstępnej oceny ryzyka, ale będzie analizą pogłębioną i bardziej sformalizowaną. Co istotne, zgodnie z inną, a fundamentalną zasadą rozliczalności, to na przedsiębiorcy ciąży obowiązek wykazania przestrzegania zasad przetwarzania danych.

Problematyczne może wydać się to, że RODO nie daje gotowych rozwiązań proceduralnych wdrożenia poszczególnych jego zapisów, pozostawiając inwencję twórczą w tym zakresie po stronie samych administratorów danych. Jest to niewątpliwe podyktowane różnorodnością podmiotów i przedmiotów ich działalności, jak i skalą występujących w tych organizacjach procesów przetwarzania danych. Z drugiej strony powyższe wskazuje, że rozporządzenie odchodzi od koncepcji podawania zbioru sztywnych procedur i reguł postępowania, na rzecz wyjątkowo „pro-konsumenckiego” podejścia do osoby fizycznej jako podmiotu praw i wolności związanych z jej danymi osobowymi. Osoba fizyczna i gwarancje wysokiej ochrony jej danych osobowych wysuwają się zdecydowanie na pierwszy plan RODO. I być może dlatego RODO przewiduje daleko idące skutki finansowe (w postaci kar administracyjnych nawet do 20 mln euro lub 4 proc. rocznego obrotu przedsiębiorstwa) w razie stwierdzenia przez organ nadzoru naruszenia przez przedsiębiorcę podstawowych zasad przetwarzania danych.

Joanna Kieszek
Radca prawny w kancelarii Leśnodorski Ślusarek i Wspólnicy, specjalizująca się w prawie własności intelektualnej
www.lsw.com.pl
www.lswipblog.pl

Używamy plików cookies, aby ułatwić Ci korzystanie z naszego serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Pamiętaj, że możesz samodzielnie zarządzać cookies, zmieniając ustawienia przeglądarki. To find out more about the cookies we use and how to delete them, see our privacy policy.
I accept cookies from this site. Agree