Jak przygotować się do RODO

Każdy przedsiębiorca musi przygotować się do RODO. Nie ma jednej uniwersalnej metody dostosowania firmy/organizacji do wymogów rozporządzenia. RODO wskazuje jednak wspólne elementy, których analiza i wdrożenie pozwolą przygotować przedsiębiorstwo na wejście w życie nowych przepisów. Elementy te są niezależne od skali prowadzonej działalności i powodów, dla których przetwarza się dane osobowe.

Krok 1. Powołaj Zespół ds. wdrożenia RODO

RODO to nowe podejście do kwestii bezpieczeństwa danych. Rozporządzenie nie precyzuje, w jaki sposób firma przetwarzająca dane powinna prowadzić swoją działalność, by zagwarantować odpowiedni poziom bezpieczeństwa ich przetwarzania.

Administrator danych powinien – na podstawie wyników przeprowadzonej w firmie analizy ryzyka – ustalić, jakie narzędzia będą odpowiednie do tego, by zminimalizować m.in. ryzyko utraty kontroli nad zasobami danych osobowych (art. 32 RODO). Jest to proces kompleksowy, dlatego minimalny skład zespołu ds. wdrażania RODO powinien obejmować osoby decyzyjne z pionów: HR, IT, bezpieczeństwa informacji i obsługi prawnej.

Krok 2. Przeprowadź inwentaryzację zasobów danych osobowych

Zwróć uwagę, że RODO nie opiera się na pojęciu zbioru danych osobowych, ale skupia się na określeniu czynności przetwarzania tych danych. Ustal:

  • jakie dane przetwarza się w twojej firmie,
  • gdzie się je zapisuje,
  • w jakich miejscach są przechowywane i jak długo,
  • w jaki sposób się je przetwarza,
  • na czyje potrzeby, przez kogo, komu i w jaki sposób się je udostępnia.

Swoje ustalenia zapisuj w formie tabeli. Będą one podstawą do stworzenia rejestru czynności przetwarzania danych osobowych (art. 30 RODO). Nawet, jeżeli twoja firma nie ma obowiązku utrzymywania takiego rejestru (art. 30 ust. 5 RODO), to warto go utworzyć i zadbać o jego aktualność. Zawarte w nim informacje będą podstawą do analizy ryzyka przetwarzania danych osobowych. Na tym etapie zwróć również uwagę, które dane osobowe przetwarzane są na podstawie zgody osoby udostępniającej swoje dane (art. 7 RODO). Będziesz musiał umożliwić korzystanie z praw osobom, których dane przetwarzasz (rozdział III RODO). To z kolei będzie wymagało wdrożenia w twoich systemach nowych funkcjonalności np. rozwiązań umożliwiających wycofanie udzielonej zgody (art. 7 ust. 3). Więcej na ten temat przeczytasz w dalszej części poradnika.

Przykładowe czynności przetwarzania:

1. Prowadzenie dokumentacji kadrowej (podstawa prawna: art. 22 (1) KP)

2. Nabór kadr (podstawa prawna: art. 22 (1) KP ale również zgoda kandydata na przetwarzanie danych osobowych, których zakres wykracza poza regulację ustawową)

3. Newsletter (podstawa prawna: zgoda podmiotu danych)

Krok 3. Przeprowadź analizę ryzyka przetwarzania danych osobowych

Gromadząc informacje potrzebne do utworzenia rejestru czynności przetwarzania ustal i udokumentuj, jak w firmie zorganizowany jest system zabezpieczenia danych.


Podstawa prawna:

 

ZAPRASZAMY DO WSPÓŁPRACY ZESPÓŁ MODERN CONSULTING

PRZEPROWADZAMY WDROŻENIA. ORGANIZUJEMY SZKOLENIA RODO. ZAPYTAJ O DOSTĘPNE TERMINY.