22 marca 2018

Co zrobić, aby dobrze przygotować się do RODO?

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych jest polskim tłumaczeniem GDPR (General Data Protection Regulation). Od kilku miesięcy budzi wiele pytań i wątpliwości wśród przedsiębiorców, którzy chcą przygotować się do nowych obowiązków. W poprzednim artykule pokazaliśmy co IAI z założenia robi dla swoich klientów i dlaczego nie warto wielu rzeczy się obawiać. Jednak każda firma musi wewnętrznie przygotować się na wejście RODO. Co warto wiedzieć? W jaki sposób przygotować się, aby nie być zaskoczonym i nie narazić się na sztucznie zawyżone koszty?

Warto uważać na pułapki zastawione przez samozwańczych specjalistów i dokładnie rozumieć co i jak trzeba przygotować samodzielnie, aby rozumieć idee RODO i stosować je w codziennej praktyce. To co faktycznie pozostaje do przepracowania po stronie sklepu internetowego, to przede wszystkim:

  1. Określenie sposobu wdrożenia RODO – czy sklep robi to samodzielnie przez wyznaczenie pracownika albo zespołu odpowiedzialnego za wdrożenie, czy lepiej posłużyć się wyspecjalizowaną firmą zewnętrzną? Nie ma na to pytanie jasnej odpowiedzi, ponieważ trudno odnieść się do doświadczenia lub referencji firm wdrażających RODO, w momencie kiedy RODO jeszcze nie obowiązuje. Z drugiej strony, mało która mała i średnia firma ma wewnętrzne kompetencje do wdrożenia RODO na tyle duże, aby ze swoich, i tak zapewne zapracowanych osób, wybrać te, które pewnie przeprowadzą firmę przez niuanse nowej dokumentacji i nowych zasad. Dlatego, warto rozważyć zlecenie wdrożenia przepisów RODO firmie doradczej, ale warto bardzo dokładnie przejrzeć oferty tych firm, mieć własne, krytyczne zdanie i nie ulegać presji ceny.
  2. Kolejnym etapem wdrożenia powinno być stworzenie harmonogramu prac. Można w nim wskazać zakres prac i terminy wykonania poszczególnych etapów wdrażania przepisów rozporządzenia. Harmonogram taki pozwoli ustalić, które z zadań, będzie najbardziej czasochłonne i kosztowne, jak również pozwoli kontrolować czy podjęte działania przebiegają terminowo i ze wszystkimi pracami zdążymy przed 25 maja 2018r. Plan pracy pomoże także w ustaleniu od których prac zacząć i z którymi zadaniami przedsiębiorstwo może mieć największe trudności.
  3. Przy tworzeniu procedur i dokumentacji pod kątem RODO niezbędny będzie przegląd przetwarzanych danych i procesów przetwarzania wewnątrz firmy pod kątem:
    1. wyodrębnienia zbiorów danych własnych i powierzonych do przetwarzania,
    2. podstaw przetwarzania danych,
    3. ustalenia celów przetwarzania - czy są konkretne, wyraźne i prawnie uzasadnione,
    4. minimalizacji danych(czy wszystkie przetwarzane dane są niezbędne do osiągnięcia celów przetwarzania), tu docieramy do dwóch założeń w RODO, czyli privacy by design oraz privacy by default, mówiących o tym, że dane muszą być przetwarzane tylko w niezbędnym zakresie oraz cały proces projektowania i wytwarzania oprogramowania ma służyć zabezpieczeniu danych. Dla firm korzystających z rozwiązań SaaS takich jak IAI, to olbrzymia przewaga, bo nie muszą się o to martwić. Sklepy korzystające z własnego softu przy każdej zmianie czy dodaniu nowej funkcji będą musiały dokumentować, że działają według tych zasad. Warto jednak sprawdzić, czy w innych programach – przykładowo CRM czy ERP nie przechowujemy i nie przetwarzamy zbędnych danych, co by było sprzeczne z zasadą privacy by default.
    5. sprawdzenia czy dane są prawidłowe i aktualne - jeśli nie, należy je usunąć lub zaktualizować. W tym temacie na pewno pomoże doświadczenie prawnika specjalizującego się w ochronie danych osobowych.
    6. Czy nadal trwa cel, dla którego dane zostały zebrane, a jeśli nie, to należy te dane usunąć. Jednak w przypadku danych potrzebnych do przeprowadzenia transakcji i następnie wykorzystywanych do dokumentacji skarbowej, ten punkt ma małe znaczenie. Być może trzeba będzie lekko zmodyfikować treść klauzul zgody na wysyłanie newsletterów lub innych komunikatów wysyłanych elektronicznie do klienta, zamieszczając informacje o samym fakcie przetwarzania danych, celu przetwarzania oraz danych administratora, a także o przysługujących odbiorcom prawach.
    7. Czy dane są odpowiednio zabezpieczone przed utratą, zniszczeniem, uszkodzeniem – przegląd systemów IT, w szczególności pod kątem poufności, integralności dostępności i odporności systemów, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. O ile w przypadku danych trzymanych w systemach IdoSell Shop, sklep internetowy ma ten problem z głowy, ponieważ spada to na IAI, to jednak w samym biurze czy magazynie przechowuje się różne dane. Warto poświęcić chwilę czasu i sprawdzić te dane, choćby tylko dla własnego bezpieczeństwa i spokoju.
    8. Aktualizacji regulaminów świadczenia usług, klauzul informacyjnych, klauzul udzielanych zgód i form udzielania zgody, tu zapisy będą raczej standardowe i nie będzie to wymagało większego wysiłku niż dodanie zapisów do standardowego „check-boxu” na wyrażanie zgody na przetwarzanie danych osobowych, regulaminu sklepu lub polityki prywatności.
    9. Zrealizowania obowiązku informacyjnego, w tym poinformowania o profilowaniu, o ile oczywiście taka potrzeba będzie zachodziła w ramach działań prowadzonych przez sklep internetowy.
    10. Weryfikacji udzielenia zgody przez rodzica/opiekuna dziecka poniżej 13 r.ż., ponownie jeżeli rzeczywiście będzie zachodziło podejrzenie, że zakupów dokonuje dziecko poniżej tego wieku.
  4. Przeprowadzenie oceny skutków ryzyka, nie jest to obowiązkowe dla wszystkich przedsiębiorców, ale wydaje się konieczne dla sklepów internetowych.
  5. Istotna zmiana jaką wprowadza RODO to obowiązek posiadania dokumentu, w którym zamieszczone są cele, dla jakich dane osobowe są przetwarzane oraz kontakt do osoby lub osób, które są administratorami tych danych. Nie musi to być jednak dokument papierowy, może to być zwykły dokument tekstowy czy arkusz kalkulacyjny. Należy wprowadzić (zarządzeniem lub uchwałą) spisane dokumenty takie jak: politykę ochrony danych lub zmodyfikować politykę bezpieczeństwa jeżeli jest już wprowadzona, rejestr czynności/kategorii przetwarzania, ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa i oceny skutków ryzyka. Jak widać, choć nie są to skomplikowane formuły, to jest ich kilka i choćby z tego powodu warto pomyśleć o zleceniu ich kancelarii.
  6. Kolejnym krokiem jest wydanie upoważnień pracownikom do przetwarzania danych oraz przetwarzania na polecenie.
  7. Oczywiście na koniec należy przeszkolić wszystkich pracowników(bez względu na formę umowy) z zasad ochrony danych. Warto odebrać poświadczenie, że takie informacje uzyskali i będą się do nich stosować. Należy też tego restrykcyjnie wymagać, szczególnie w pierwszych tygodniach po wprowadzeniu RODO, aby te informacje weszły w nawyk. Pamiętajmy też o tym, że każdy ma obowiązek zgłaszania naruszeń. Nie obrażajmy się na pracowników, czy podwykonawców jeżeli takie naruszenie nam zgłoszą. Po jego zaraportowaniu prawdopodobnie nic złego się nie stanie, gorzej jakby zostało ono przemilczane. Na samo dokonanie zgłoszenia będziemy mieli 72 godziny.
  8. Zawarcie umów o powierzeniu przetwarzania, ale w przypadku IAI tę kwestię rozwiąże standardowa umowa i zapisy w Regulaminie. Ostatnim krokiem jest wyznaczenie wśród załogi Inspektora Ochrony Danych Osobowych, który będzie czuwał nad pilnowaniem Zasad RODO, szczególnie opisanych w punkcie 7.

Te wszystkie informacje dają światło na ilość pracy jaką należy wykonać przy okazji tworzenia dokumentacji RODO. Dzięki temu, jako potencjalni klienci kancelarii, każdy sklep może realnie ocenić zakres proponowanych prac i ich wycenę. Na pewno nie warto oszczędzać na tych pracach, ale również nie ma sensu przepłacać.

Rafał Malujda
- radca prawny / rzecznik patentowy
malujda.pl