A GDYBY TAK NIE ULEGAĆ RODO-HISTERII?

I NA SPOKOJNIE PRZYJRZEĆ SIĘ FAKTOM

ZAMIAST MITOM?

Można RODO nie lubić, odpychać od siebie myśli o jego istnieniu, traktować jak „hot potatoe”.

Można otwierać i zamykać plik z Rozporządzeniem z głębokim przekonaniem że „kiedyś się tym zajmę”.

Można liczyć że „ktoś się tym na pewno zajął„.

ALE nie można RODO nie zauważyć. RODO jest wszędzie.

Prawdopodobnie dlatego że dotyczy NAJBARDZIEJ WARTOŚCIOWEGO DOBRA DZISIEJSZYCH CZASÓW – DANYCH. Dane uznaje się obecnie za dobro bardziej wartościowej niż ropę.

Szybki postęp techniczny i globalizacja przyczyniły się do zwiększenia skali udostępniania i wykorzystywania danych osobowych.

GDPR (The Europen Union’s General Data Protection Regulation – w polskiej wersji RODO) nowa regulacja w zakresie ochrony danych osobowych rezydentów EU, która weszła w życie w maju 2018 r. stara się uregulować najistotniejsze kwestie z tym związane.

OBOWIĄZKI dotyczą KAŻDEJ ORGANIZACJI, SPÓŁKI, JEDNOOSOBOWEGO PRZEDSIĘBIORCY, FUNDACJI, STOWARZYSZENIA ITP

Część organizacji podjęła już kroki celem wdrożenia właściwych procedur, duża część jeszcze poszukuje dobrej motywacji do zajęcia się tematem albo odkłada temat na po wakacjach. Niektórzy ciągle myślą, że ich to nie dotyczy.

Jakkolwiek żadna dobra konferencja, szkolenia, warsztaty czy artykuły nie zastąpią solidnego audytu prawnego i prawnych konsultacji w ramach konkretnej organizacji warto przyjrzeć się kilku podstawowym aspektom, żeby przynajmniej ustalić gdzie jesteśmy i ile jeszcze przed nami.

Poniżej krótka check-lista z 10 najważniejszymi krokami.

 

10 – STOPNIOWY PLAN DZIAŁANIA

DLA KAŻDEJ ORGANIZACJI

1. PODNIESIENIE ŚWIADOMOŚĆ WŚRÓD ZESPOŁU

W ramach każdej organizacji wiele osób czy zespołów na rożnych poziomach ma do czynienia z danymi osobowymi.

Istotne jest zadbanie, aby co najmniej osoby decyzyjne i kluczowi managerowie mieli świadomość, że zmieniają się regulacje i potrafili przewidywać wpływ oraz potencjalne ryzyko związane z GDPR dla danej jednostki.

To bardzo ważne, szczególnie w dużych organizacjach, gdzie przepływ informacji i podjęcie decyzji wymaga czasu.

2. IDENTYFIKACJA DANYCH I SPOSOBU ICH PRZETWARZANIA –

AUDYT DANYCH I ROADMAPA SYSTEMU OCHRONY

 

Organizacje, w których funkcjonowały procedury GIODO (dotychczas obowiązująca ustaw o ochronie danych osobowych) będą mieć mniej pracy, ale to nie znaczy że mają nie robić nic. Lifting procedur jest potrzebny i przejrzenie ich w kontekście GDPR również.

Te, które do tej pory nie wdrożyły żadnych procedur stanęły przed prawdziwym wyzwaniem i będą potrzebować więcej czasu. Niezbędny będzie audyt przetwarzanych danych w pełnym zakresie i opracowanie roadmapy procesu wdrożenia nowego systemu. Audyt pozwoli ustalić jakiego rodzaju dane są przetwarzane, w jaki sposób i jakie ryzyka się z tym wiążą.

ZWRÓĆ UWAGĘ ŻE DANE OSOBOWE TO SZEROKI KATALOG:

Wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności tj.: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, dane biometryczne, dane genetyczne czy dotyczące stanu zdrowia.

W TRAKCIE AUDYTU ZWRÓĆ UWAGĘ:

 

 • Jakie dane osobowe są przechowywane i gdzie (może np.: na tablicy informacyjnej albo w intranecie);
 • Jaki jest cel zbierania danych (może jedynym celem jest…brak celu?)
 • Jakie jest zakres gromadzonych danych (może ma się nijak do celu?)
 • Skąd pochodzą;
 • Jak zostały zebrane;
 • Komu i w jaki sposób są udostępniane (transferujesz dane? dzielisz je z innymi podmiotami np.: w ramach grupy)
 • Jak długo są przechowywane (wierz mi z;
 • Jakich używasz mechanizmów aby dane zabezpieczyć;

Zidentyfikuj wszystkie źródła danych i wszystkie typy powiązań danych. Opracuj roadmapę, które obszary ochrony mają największe znaczenie w Twojej działalności i nadaj im priorytety. Może to być duży projekt, więc rozważ zlecenie tego specjalistom.

3. UPDATE ZARZĄDZANIA ZGODĄ NA PRZETWARZANIE DANYCH

Zweryfikuj podstawy prawne przetwarzania danych, wśród nich umowy i zgody na przetwarzanie danych.

Przede wszystkim zweryfikuj jak uzyskujesz, utrwalasz i zarządzasz zgodą na przetwarzanie danych. Powyższe pozwoli Ci ustalić czy W OGÓLE masz w tym zakresie jakieś procedury czy nie. Jeśli nie tworzysz je od nowa zgodnie z RODO, jeśli masz należy je odświeżyć jeśli nie spełniają wymagań RODO.

PAMIĘTAJ!

ZGODA – musi być DOBROWOLNA, KONKRETNA, ŚWIADOMA I JEDNOZNACZNIE OKAZANA w formie oświadczenia lub wyraźnego działania potwierdzającego zgodę. Nie możne być domniemana (wynikać np.: z bezczynności).

PAMIĘTAJ!

To na tobie spoczywa obowiązek wykazania, że posiadasz zgodę.

4.UPDATE ZARZĄDZANIA KOMUNIKACJĄ O SPOSOBIE PRZETWARZANIA DANYCH

Pozyskując dane będziesz zobowiązany do udzielanie szeregu informacji wskazanych w przepisach (m.in. swoich danych jako administratora, informacji o celu i okresie przetwarzania danych, odbiorcach danych osobowych, prawie do żądania dostępu do danych, prawie do cofnięcia zgody, informacji o transferze danych poza granice EU).

Ponadto jako organizacja będziesz musiał być responsywny w przypadku zgłoszenia żądania udzielenia informacji. Pytanie czy jesteś?

Odpowiedzi na ewentualne żądania w tym zakresie będziesz musiał udzielać bez zbędnej zwłoki, maksymalnie w terminie miesiąca.

W większości przypadków nie będziesz mógł pobierać opłat za udzielanie informacji osobie której dane dotyczą.

W niektórych przypadkach będziesz mógł odmówić udzielenia informacji lub pobrać rozsądną opłatę, licząc się jednak z prawem skargi.

5. UPDATE ZARZĄDZANIA PRAWEM DOSTĘPU DO DANYCH

Jako organizacja będziesz musiał być responsywny również w tym obszarze udzielając informacji wskazanych w GDPR oraz przekazując kopie danych osobowych podlegających przetwarzaniu.

6. WERYFIKACJA ZARZĄDZANIA PRAWEM DO SPROSTOWANIA, PRAWEM SPRZECIWU ORAZ USUNIĘCIA DANYCH

Jako organizacja musisz być przygotowany na realizacji prawa do sprostowania danych, prawa sprzeciwu co do dalszego przetwarzania danych oraz prawa „bycia zapomnianym” tj.: niezwłocznego usunięcia dotyczących danej osoby danych oraz informowania o tym.

7. WERYFIKACJA ZARZĄDZANIA RYZYKIEM NARUSZENIA DANYCH

Jako organizacja musisz być przygotowany na raportowanie właściwemu organowi nadzorczemu każdego przypadku naruszenia danych osobowych, bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia.

Zgłoszenie musi spełniać określone wymogi formalne.

W określonych przypadkach będziesz musiał też zawiadomić osobę, której naruszenie dotyczy.

8. UPDATE ALBO OPRACOWANIE ORAZ WDROŻENIE WŁAŚCIWYCH POLITYK OCHRONY DANYCH

Opracowanie oraz wdrożenie jasnych i precyzyjnych polityk i procedur ochrony danych osobowych to kolejny krok. Lista procedur i polityki w ramach poszczególnych organizacji może być dłuższa lub krótsza w zależności od wyników audytu.

Organizacje, w których funkcjonowały do tej pory procedury GIODO (obecnie obowiązująca ustaw o ochronie danych osobowych) będą musiały przejrzeć stosowane procedury, zaktualizować je pod kątem nowych wymagań i zaimplementować zmiany. Pozostałe opracować nowe.

PAMIĘTAJ O ZAIMPLEMENTOWANIU W NICH PRAWA DO:

 • BYCIA INFORMOWANYM
 • DOSTĘPU DO DANYCH
 • SPROSTOWANIA DANYCH
 • BYCIA ZAPOMNIANYM

Nie zapomnij przeszkolić swoich pracowników jak mają je stosować. To że wiedzą że gdzieś w intranecie są jakieś procedury to za mało, powinni je znać i stosować.

9. SPRAWDŹ CZY MUSISZ POWOŁAĆ DPO (DATA PROTECTION OFFICER) –

INSPEKTORA DANYCH OSOBOWYCH

Poza organami lub podmiotami publicznymi każda organizacja, której główna działalność polega na:

 • operacjach przetwarzania, które ze względu na swój charakter, zakres, cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę albo
 • na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń praw JEST ZOBOWIĄZANA POWOŁAĆ INSPEKTORA OCHRONY DANYCH.

10. ASPEKT MIĘDZYNARODOWY – ZIDENTYFIKUJ LEAD AUTHORITY

Jeśli Twoja organizacja prowadzi działalność na terenie więcej niż jednego państwa UE albo przetwarza dane w ramach działalności jednej jednostki, ale które znacznie wpływa lub może wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim („przetwarzania transgranicznego”), podlegasz urzędowi ochrony właściwemu dla jednostki głównej.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.