Dzisiejszy wpis dotyczyć będzie wdrożenia RODO od strony organizacyjnej.
Projekt dostosowania firmy do RODO to zadanie dla kadry zarządzającej i jej obowiązek. Decyzja o uruchomieniu działań w kierunku wdrożenia należy do najwyższego kierownictwa.
W pierwszej kolejności warto, aby lider organizacji podwyższył swoją wiedzę na temat RODO. Pozwoli mu to lepiej zrozumieć, jakie znaczenie nowe przepisy o ochronie danych osobowych będą mieć dla jego organizacji, a także dokonać bardziej świadomej selekcji w zakresie oferty podmiotów świadczących usługi wsparcia przy wdrożeniu RODO.
W ostatnim czasie łatwiej jest chyba usłyszeć o RODO niż o nim nie słyszeć, ale nie oznacza to jeszcze, że każde źródło wiedzy na jego temat jest wiarygodne.
W jednym z ostatnich wywiadów dr Maciej Kawecki stwierdził, że Ministerstwo Cyfryzacji nie spodziewało się „tak dużej skali i tak wielu podmiotów, które będą chciały na tym [wejściu RODO – przyp. aut.] nieuczciwie zarobić oraz tak dużej liczby komunikatów wprowadzających w błąd.”.
W tym samym wywiadzie podkreślono, że nieuczciwe jest, w szczególności, oferowanie zestandaryzowanych produktów lub usług, które gwarantują zgodność z RODO. Sposób wdrożenia RODO powinien być dopasowany do konkretnej firmy, dlatego z ostrożnością należy podchodzić do tego rodzaju manipulacyjnych komunikatów. Co prawda RODO przewiduje możliwość wprowadzenia ujednoliconych rozwiązań w firmach działających w tej samej branży (mają temu służyć kodeksy postępowania), ale jest to temat na osobny wpis.
Istotna jest zatem świadoma selekcja informacji i pozyskiwanie wiedzy z wiarygodnych źródeł. Takimi są m.in. GIODO, Ministerstwo Cyfryzacji, Grupa Robocza Art. 29 i … ten blog 😉
Rola lidera organizacji oczywiście nie kończy się na decyzji, co zrobimy z tematem RODO (obecnie konieczność szybkiego podjęcia takiej decyzji jest już poza dyskusją). Powinien on aktywnie zaangażować się w cały projekt, motywować członków zespołu do działania i nadzorować postępy prac. Jeżeli byłoby to trudne do pogodzenia z jego innymi obowiązkami, może on wyznaczyć osobę, która będzie zarządzać projektem wdrożenia RODO ze strony firmy. Niemniej, nawet w takiej sytuacji, powinien zachować tzw. helicopter view nad całym procesem.
Firma, która na ostatnią chwilę podejmie decyzję o dostosowaniu się do nowych unijnych przepisów o ochronie danych, powinna mieć świadomość, że nawet jeżeli zdecyduje się skorzystać z zewnętrznego wsparcia procesu wdrożenia RODO, to pewne obowiązki i tak będzie musiała wykonać we własnym zakresie, z udziałem własnych pracowników. W szczególności, dotyczy to uporządkowania danych osobowych.
RODO określa katalog uprawnień osoby, której dane dotyczą. Każdemu takiemu uprawnieniu odpowiada stosowny obowiązek po stronie administratora.
Warto tutaj wymienić następujące uprawnienia:
- Prawo dostępu do informacji o przetwarzaniu danych
- Prawo do wydania kopii danych
- Prawo do przeniesienia danych
- Prawo do usunięcia danych
Prawo do uzyskania informacji o przetwarzaniu danych i do usunięcia danych osobowych istniały już wcześniej (choć to pierwsze zostało w RODO rozszerzone, a drugie zyskało na znaczeniu), ale prawo do wydania kopii danych i prawo do przeniesienia danych osobowych są nowościami.
Od dnia 25 maja 2018 r., każda osoba będzie mogła wystąpić do administratora z żądaniem wydania kopii całości danych osobowych, które jej dotyczą. Dane te mogą być zapisane na nośnikach papierowych lub w systemie informatycznym.
Praktyczna realizacja uprawnień osób, których dane dotyczą, będzie znacznie utrudniona, jeżeli firma nie będzie posiadała uporządkowanych zasobów informacyjnych. Przykładowo, jeżeli dane na temat tej samej osoby będą przechowywane w systemie informatycznym w różnych miejscach, w żaden sposób nie powiązanych ze sobą tematycznie lub funkcjonalnie, to dokładne ustalenie zakresu przetwarzanych danych osobowych może być bardzo czasochłonne. W wielu firmach brak jest porządku w danych osobowych. Może być to związane z brakiem stosownych procedur lub nieprzestrzeganiem istniejących procedur przez pracowników zajętych wykonywaniem bieżących zadań, które zwykle uchodzą za pilniejsze.
Podobnie jak w przypadku żądania wydania kopii danych, skuteczna realizacja prawa do przeniesienia danych również wymaga fizycznej lokalizacji danych osobowych. W przypadku żądania przeniesienia danych to sama osoba zainteresowana powinna wskazać, w jakim zakresie przeniesienie powinno nastąpić. Jeżeli administrator jest w posiadaniu tych danych, powinien je zlokalizować i przekazać np. wskazanemu przez tę osobę innemu administratorowi, w powszechnie używanym formacie.
W kontekście zbliżającej się daty 25 maja 2018 r. RODO staje się powoli jednym z najpilniejszych dla firmy zadań. Im wcześniej uporządkuje ona swoje zbiory informacyjne, tym lepiej. Proces dostosowania się do standardów RODO pójdzie jej znacznie łatwiej.
Mamy już pierwsze przykłady, w jaki sposób administratorzy będą realizować prawo do wydania kopii danych osobowych. W ostatnim czasie portal Facebook umożliwił swoim użytkownikom pobranie danych osobowych ich dotyczących z wykorzystaniem funkcjonalności tego serwisu. Należy się spodziewać, że inny giganci technologiczni zza Atlantyku pójdą w jego ślady. RODO będzie bowiem obejmować zarówno Facebooka, jak i Google, Twittera itp. Decydujące znaczenie ma kierowanie oferty do użytkowników w Unii Europejskiej, a nie miejsce ich głównej siedziby.
Jeszcze w kontekście organizacyjnego podejście do wdrożenia RODO – ważne jest wdrożenie procedur, które będą posiadały zdolność operacyjną również w przypadku dużych zmian kadrowych w firmie. Można powiedzieć, że dobrze przygotowana procedura powinna zacząć żyć własnym życiem, niezależnie od tego, kim jest osoba, która w danej chwili ją stosuje. Procedur nie należy tworzyć pod konkretne osoby, ale stanowiska. W kontekście RODO może się okazać, że w niektórych firmach konieczne będzie powołanie inspektora ochrony danych, który będzie nadzorować przestrzeganie procedur.
Podsumowując, jednym z najważniejszych zadań, które firma wdrażająca RODO na ostatnią chwilę powinna zacząć realizować od zaraz jest ustalenie jakie dane osobowe posiada i gdzie je przechowuje. Następnym krokiem jest odpowiednie uporządkowanie tych danych. Ułatwi to dalsze kroki związane z samym wdrożeniem RODO, w szczególności sprawną realizację praw osoby, której dane dotyczą, w tym prawa do informacji o przetwarzanych danych, wydania ich kopii, przeniesienia danych i usunięcia danych.
Jeżeli firma zaniecha tych działań, realizacja każdego tego typu żądania będzie wymagała większego nakładu czasu i pracy, co będzie się odbywać kosztem realizacji bieżących obowiązków przez pracowników firmy. W takim przypadku może się również okazać, że nie będzie w stanie zrealizować żądania w terminie przewidzianym w RODO, co wiąże się z ryzykiem odpowiedzialności.