Wdrażasz RODO? Dowiedz się, jak to zrobić w 6 krokach

Bliskość 25 maja 2018 r. u wielu osób wywołuje uczucie paniki i strach, że nie zdążą zapewnić w swojej firmie zgodności z wymaganiami ogólnego rozporządzenia o ochronie danych (RODO). Czasu nie zostało faktycznie dużo, dlatego tak ważne jest to, aby te ostatnie dni wykorzystać jak najlepiej. Jak zatem podejść do wdrożenia RODO i na jakie elementy zwrócić szczególną uwagę? Kluczowe jest oczywiście ustalenie, w jakim zakresie RODO będzie miało zastosowanie do danego podmiotu.

Pierwszym krokiem będzie zdefiniowanie obszarów, w jakich są przetwarzane dane osobowe oraz określenie, jakie mamy kategorie podmiotów danych. Mogą to być przykładowo dostawcy, kontrahenci, klienci biznesowi, pracownicy, byli pracownicy, klienci indywidualni, odbiorcy newslettera, potencjalni klienci, osoby trzecie lub osoby, które złożyły reklamacje. Obszary, jakie dla przedstawionych kategorii obejmie RODO, to dział kadr/HR, dział IT, dział księgowości, biuro obsługi klienta, biuro zajmujące się odpowiedziami na reklamacje, badaniem jakości, jednostka odpowiedzialna za bezpieczeństwo oraz departament odpowiedzialny za umowy z kontrahentami. Może być to również dział marketingu, jeżeli odpowiada za kontakt z osobami trzecimi, bądź prowadzenie profilu firmy w mediach społecznościowych.

Mając zdefiniowane obszary wdrożenia RODO, musimy ocenić, jaki jest zakres prac do wykonania i czy jesteśmy w stanie przeprowadzić je własnymi siłami. W tym celu należy wylistować najważniejsze punkty, którymi mogą być:

a) zmiany w dokumentacji z klientami,

b) zmiany w dokumentacji z dostawcami, kontrahentami,

c) zmiany w systemach IT,

d) zmiany w dokumentacji pracowniczej,

e) opracowanie zasad realizacji praw wynikających z RODO,

f) dostosowanie dokumentacji firmy, tj. polityk bezpieczeństwa, procedur dotyczących przetwarzania danych osobowych, dostosowanie materiału szkoleniowego dla pracowników i jego modyfikacja,

g) decyzja w zakresie funkcji inspektora ochrony danych oraz prace nad zapewnieniem zgodności tej funkcji z RODO.

Kolejnym krokiem jest określenie zakresu działań, oszacowanie budżetu, sposobu prowadzenia projektu i jego powołanie z równoczesnym zaangażowaniem najwyższego kierownictwa. W ramach określania zakresu projektu konieczna jest analiza zasobów ludzkich. W praktyce oznacza to ocenę, czy podmiot jest w stanie samodzielnie wdrożyć projekt. Niewykluczone, że odpowiedź na to pytanie będzie negatywna. Nie tylko w zakresie liczby pracowników i przypisanych do nich zadań, ale może się okazać również, że wymagane jest dodatkowe eksperckie wsparcie. Zanim zdecydujemy się skorzystać z pomocy zewnętrznego konsultanta, wymagana będzie ocena rzeczywistego problemu. Zewnętrznego konsultanta możemy poprosić przykładowo tylko o wykonanie analizy prawnej naszych dokumentów, opracowanie zmian do dokumentacji (zarówno wewnętrznej, jak i zewnętrznej, np. umowy, klauzule, treści zgód), jak również o wsparcie w zakresie IT i spisanie wymagań do systemów. Konsultant może być również zatrudniony do prowadzenia projektu, przy czym główna odpowiedzialność za projekt powinna być po stronie wewnętrznego project managera.

Niezależnie od tego, czy podmiot podejmie decyzję o wdrażaniu RODO w ramach własnych struktur, czy przy pomocy zewnętrznego doradcy, należy utworzyć odpowiednią strukturę projektową. Tym samym konieczne jest wskazanie osoby pełniącej funkcję project managera zapewniającego kontrolę nad pracą we wszystkich obszarach i odpowiedzialną za koordynację działań pracowników delegowanych do projektu. W tym miejscu należy zaznaczyć, że project manager nie musi być wcale osobą posiadającą wiedzę ekspercką w obszarze ochrony danych osobowych (np. administrator bezpieczeństwa informacji – ABI). Z pewnych względów jest to nawet korzystniejsze. Administrator bezpieczeństwa informacji, nie będąc osobą odpowiedzialną za prowadzenie projektu, może skoncentrować swoje działania na merytorycznym wsparciu innych jednostek. Niejednokrotnie ta osoba będzie równocześnie odpowiadać za toczące się na co dzień w firmie procesy przetwarzania danych, dlatego tym bardziej nie należy przypisywać jej odpowiedzialności za samo prowadzenie projektu. Może to spowodować brak efektywnego wykonywania jakichkolwiek zadań po stronie ABI.

Po wyłonieniu project managera i określeniu zakresu projektu przechodzimy do kolejnego etapu, jakim jest przyjęcie sposobu pracy. Ze względu na specyfikę niektórych działów, możemy projekt podzielić na mniejsze części, np.: obszar IT, obszar prawny, obszar kadrowy, obszar odpowiedzialny za umowy, obszar klientowski. Każdy z obszarów powinien mieć dedykowaną osobę, która będzie odpowiadać za prace toczące się w nim. Mając zdefiniowane zakresy prac, przystępujemy do opracowania harmonogramu. Powinno to być poprzedzone analizą luk, co pozwoli lepiej ułożyć kolejność prac. Nie można przykładowo zlecać zmian do umów z dostawcami bez uprzedniego określenia, w których dokumentach są one rzeczywiście wymagane. Jakie elementy należy zatem uwzględnić projektując zakres każdego z obszarów?

Dokumentacja z klientami

Zmiany w dokumentacji z klientami firmy (np. klienci sklepu internetowego, klienci firmy medycznej) powinny objąć swoim zakresem przede wszystkim te dokumenty, które służą do pozyskiwania danych i za pomocą których dana firma spełnia dzisiaj obowiązki wynikające z przepisów, tj. spełnia obowiązek informacyjny i odbiera zgody na przetwarzanie danych. Konieczne będzie przeanalizowanie zgodności zgód oraz klauzul informacyjnych pod kątem wymogów RODO. W ramach projektu trzeba wykonać również analizę zakresu pozyskiwania danych, uwzględniając podstawy prawne ich przetwarzania. Podstawa prawna, która ma bezpośredni wpływ na cel przetwarzania danych, jest jednym z elementów obowiązku informacyjnego, ale jest to również informacja niezbędna do prowadzenia rejestru czynności przetwarzania danych osobowych przez administratora danych. Analiza dokumentacji klientowskiej musi zawierać również element badania procesów pod kątem profilowania oraz zautomatyzowanego podejmowania decyzji. Te dwa elementy rodzą wiele pytań i wątpliwości, dlatego obowiązkiem firmy jest dokładne zbadanie tego procesu, aby zapewnić pełną zgodność z przepisami RODO. Oczywiście nie wolno pominąć tutaj wpisania do harmonogramu ewentualnej wysyłki materiałów do klientów, jak np. uzupełnienie obowiązku informacyjnego.

Dokumentacja z dostawcami, kontrahentami

Kolejnym istotnym punktem będą dostawcy oraz partnerzy biznesowi. Przy czym to zagadnienie należy przeanalizować w dwóch różnych kategoriach. Pierwsza z nich będzie obejmowała konieczność aneksowania umów. Firma ma zatem obowiązek dokonania inwentaryzacji umów, wyselekcjonowania tych, które dotyczą powierzenia przetwarzania danych osobowych, a następnie oceny, czy i w jakim zakresie wymagają one zmiany. Być może zostaną zidentyfikowane umowy, które błędnie określono jako powierzenie przetwarzania danych, jak również może wystąpić odwrotna sytuacja – wskazane zostaną nowe umowy, w ramach których dochodzi do powierzenia bądź udostępnienia danych innemu podmiotowi. Nie bez znaczenia są również takie umowy, na podstawie których nie dochodziło do powierzenia przetwarzania, a zawierają tylko dane kontaktowe pracowników partnera biznesowego. W takich przypadkach konieczne będzie spełnienie obowiązku informacyjnego wobec osoby kontaktowej ze strony naszego dostawcy. Należy także wyselekcjonować niestandardowe umowy, np. przekazywanie danych osobowych pracowników jednego dostawcy do drugiego za naszym pośrednictwem.

Umowy z procesorami

Umowy z procesorami (podmiotami przetwarzającymi, którym dane zostały powierzone do przetwarzania) powinny zawierać elementy wskazane w art. 28 ust. 3 RODO. Ponieważ obecna ustawa nie nakładała tak szczegółowych wymagań, przed każdą firmą powierzającą dane stoi duże zadanie związane z przygotowaniem i skutecznym podpisaniem aneksów do umów bądź po porostu podpisaniem samych umów powierzenia. Administrator musi zadbać o to, aby jak najlepiej zabezpieczyć kwestie związane ze zgłaszaniem do niego naruszeń ochrony danych osobowych przez procesora. Można bowiem założyć sytuację, w której procesor nie będzie chciał informować administratora o zidentyfikowanym naruszeniu powierzonych danych, obawiając się ewentualnych kar czy nawet rozwiązania umowy.

Systemy IT

Jedne z trudniejszych elementów dostosowania firmy do RODO to zmiany w systemach IT. Najbardziej kontrowersyjnym tematem wydaje się usuwanie danych z kopii zapasowych. Niestety RODO nie przynosi tutaj rozwiązania problemu i przed firmą staje zadanie w postaci usunięcia takich danych. Temat jest o tyle złożony, że dane mogą znajdować się również na kopiach zapasowych systemów, z jakich korzystają nasi procesorzy. Wówczas takie dane również powinny być usunięte po upływie okresu retencji bądź rozwiązaniu umowy. Zmiany do systemów to nie tylko kwestia kopii zapasowych, ale także przykładowo uwzględnienie zmian w samym procesie odbierania zgód i ich wycofywania. To również kwestia weryfikacji treści odkładającej się w logach oraz potwierdzenia tego, że działamy zgodnie z zasadą rozliczalności. Istotnym obowiązkiem wynikającym z RODO, który ma bezpośredni wpływ na systemy informatyczne, są oczywiście kwestie bezpieczeństwa.

Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w praktyce oznacza wykonanie analizy systemów informatycznych pod kątem wskazanych w RODO elementów, tj. stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osoby fizycznej, uwzględniając różne prawdopodobieństwo wystąpienia zagrożenia i jego wagę. Jeżeli firma uzna, że systemy są niewystarczające i nie dają pełnej gwarancji bezpieczeństwa, konieczna będzie ich zmiana, co znacząco może wpłynąć na budżet projektu.

Dokumentacja pracownicza

Mówiąc o wdrażaniu RODO w firmie, nie wolno zapominać o danych pracowniczych. Stanowią one bardzo istotny punkt na mapie dostosowania organizacji do przepisów RODO. Pracodawca, przetwarzając dane pracownicze, może pozyskiwać również dane szczególnej kategorii, jak również przetwarzać informacje nadmierne. Tym samym włączenie zespołu odpowiadającego za dane pracowników w dostosowanie organizacji do RODO jest jednym z obowiązkowych elementów. Przy ocenie dokumentacji pracowniczej należy zacząć analizę już od dokumentów rekrutacyjnych, tj. ocenić, czy na tym etapie nie są pozyskiwane dane nadmierne oraz czy spełniany jest prawidłowo obowiązek informacyjny wobec kandydata do pracy. Kolejny krok to analiza dokumentów gromadzonych przez pracodawcę podczas trwania umowy pracownika, np. wnioski o dofinansowanie, wnioski o kredyt, dokumentacja medyczna. Jeżeli usługi HR są świadczone przez firmę zewnętrzną, konieczna jest ocena umowy z dostawcą. Nie wolno zapominać, że w procesie rekrutacji często są wykorzystywane systemy informatyczne. Niezbędna będzie zatem ich analiza w zakresie retencji danych oraz ewentualnego profilowania i zautomatyzowanego podejmowania decyzji przez wbudowane w nie mechanizmy.

Dokumentacja opisująca procesy przetwarzania danych

Obok analizy dokumentacji pracowniczej i klientowskiej wymagana jest także zmiana w regulaminach, procedurach, polityce bezpieczeństwa. Wszelka dokumentacja odnosząca się do procesów przetwarzania danych musi przejść aktualizację. Taki proces wymaga rozplanowania w czasie, gdyż w firmach, które angażują ABI w akceptację każdej procedury operacyjnej, może się okazać, że dochodzi do opóźnienia w projekcie. Tym bardziej, jeżeli w tym samym momencie osoba ta będzie akceptowała zmiany w umowach z dostawcami i wspierała zespół IT w określaniu specyfikacji do aktualizacji oprogramowania.

Materiały szkoleniowe dla pracowników

Wewnętrza dokumentacja firmy to nie tylko procedury operacyjne. To także procedury opisujące zasady kontroli uprawnień dostępu pracowników do danych, to również proces szkoleń. Ten nie może nie zostać zaktualizowany pod RODO. Pierwszy element to oczywiście zmiana treści materiałów, a drugi to ocena, czy proces wdrażania pracownika jest skuteczny na tyle, aby zapewnić, że będzie on miał niezbędną wiedzę z zakresu ochrony danych osobowych. Biorąc pod uwagę, że z końcem maja pojawią się nowe uprawnienia dotychczas nieznane podmiotom danych, należy założyć, że proces szkoleń musi być wzmocniony. Potrzebna będzie również odpowiednia komunikacja wewnątrz firmy, aby nie doprowadzić do naruszenia ochrony danych osobowych np. w następstwie odmowy realizacji prawa do przenoszenia, jeżeli pracownik nie zostanie uprzednio prawidłowo poinstruowany.

Wyznaczenie inspektora ochrony danych

Odpowiednia komunikacja dotyczy także funkcji inspektora ochrony danych (IOD). Niezwykle ważne jest to, aby pracownicy, szczególnie ci, którzy mają bezpośredni kontakt z klientem, mieli wiedzę na temat kanałów kontaktu z inspektorem ochrony danych. Na gruncie RODO jest to bowiem funkcja stanowiąca punkt kontaktu dla regulatora (organu nadzorczego) oraz osób fizycznych. Od strony samego projektu jest to bardzo ważny element do uwzględniania w harmonogramie. Nie chodzi tu jednak tylko o opracowanie odpowiednich procedur, ale w szczególności o zapewnienie, że jest to właściwa osoba, spełniająca wymagania stawiane przez RODO oraz Grupę Roboczą Art. 29 (wytyczne Grupy Roboczej Art. 29 ds. ochrony danych nr WP243). Możemy dojść do wniosku, że konieczne będzie przeprowadzenie procesu rekrutacyjnego na to stanowisko. Biorąc pod uwagę termin, może to mieć realny wpływ na ryzyko niezgodności firmy z RODO w momencie rozpoczęcia jego stosowania, czyli 25 maja 2018 r.

Jako końcowy etap powinniśmy uwzględnić audyt wdrożenia projektu. Takie działanie może być zlecone na zewnątrz, możemy je wykonać również wewnętrznie. Jeżeli wynik audytu wykaże niezgodności z RODO, firma powinna podjąć niezwłocznie działania mające na celu przywrócenie stanu zgodności z prawem. Należy pamiętać, że 25 maja 2018 r. nie wszystkie procesy muszą być w pełni zautomatyzowane czy wdrożone tak jak było to planowane na początku projektu. Istotne jest zapewnienie zgodności z RODO. Nie musimy mieć np. automatycznego realizowania przez system prawa do przenoszenia danych. Może być ono wykonywane ręcznie przez pracownika, pod warunkiem że dochowujemy terminu i wymagań stawianych przez przepisy. Ewentualne zautomatyzowanie procesu może być wykonane na dalszym etapie.

Wdrażanie projektu regulacyjnego jest skomplikowane i nie na wszystkie czynniki firma oraz project manager mają zawsze wpływ. Co nam może pomóc? Na pewno mówienie dużo o projekcie i angażowanie współpracowników w najdrobniejsze prace oraz stała komunikacja do zarządu. Dzięki temu mamy realną szansę na osiągnięcie sukcesu. Ogromnym błędem będzie budowanie wokół RODO otoczki czegoś elitarnego, dostępnego tylko dla wybranych pracowników. Musimy również od początku wypisać ryzyka dla projektu i stale je monitorować. Bardzo użyteczne będzie zorganizowanie spotkań odbywających się z określoną cyklicznością (np. raz, dwa razy w tygodniu), na których najważniejsze osoby w projekcie będą podsumowywały wykonane działania i wskazywały dalsze kroki. Jasny i klarowny podział ról to również jeden z elementów składających się na sukces.