PL
PL
August 2020

Wdrożenie RODO w firmie - Audyt danych osobowych (RODO/GDPR) i outsourcing IOD

7 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents

Wdrożenie RODO w firmie – audyt, dokumentacja, inspektor ochrony danych

Każda firma przetwarzająca dane osobowe musi działać zgodnie z RODO. Poniżej znajdziesz konkretny plan: od audytu, przez dokumentację, po bieżący monitoring. Dowiesz się, co sprawdzić, jakie dokumenty przygotować i kiedy powołać Inspektora Ochrony Danych.

Na czym polega audyt zgodności z RODO?

Zacznij od wewnętrznego audytu – sprawdź, w jaki sposób Twoja firma gromadzi i wykorzystuje dane osobowe. To pierwszy krok, bez którego nie ustalisz, co wymaga zmiany.

Co obejmuje prawidłowo przeprowadzony audyt?

  1. Inwentaryzacja czynności przetwarzania – pełne skanowanie firmy i opisanie wszystkich procesów, w których wykorzystujesz dane osobowe.
  2. Sprawdzenie i ocena dokumentacji – w jakich dokumentach znajdują się dane, czy zbierasz je zgodnie z przepisami i w jaki sposób możesz z nich korzystać.
  3. Analiza reagowania na incydenty – jak reagujesz na naruszenia danych osobowych i jakie procedury stosujesz w takich sytuacjach.
  4. Identyfikacja obszarów ryzyka – które procesy przetwarzania są podatne na zagrożenia (np. przetwarzanie danych o zdrowiu lub innych danych wrażliwych).

Jaką dokumentację przygotować?

  1. **Polityka bezpieczeństwa ochrony danych osobowych** – opisuje główne zasady przetwarzania danych w firmie. Nie kopiuj jej z internetu. Dobrze napisana polityka porządkuje zarządzanie danymi w całej organizacji.
  2. **Rejestr czynności przetwarzania danych** – wraz z procedurami aktualizacji. Ułatwia zarządzanie danymi, szczególnie gdy przetwarzasz tysiące rekordów marketingowych.
  3. **Umowy powierzenia przetwarzania danych** – z rekomendacjami stosowania i monitorowania. Jeśli korzystasz z podwykonawców (księgowych, marketerów itp.), przekazujesz im dane pracowników i klientów. W takiej sytuacji musisz mieć umowę, która chroni Twoją firmę.
  4. Klauzule zgody na przetwarzanie danych – niezbędne do wykorzystania danych w marketingu (newslettery, oferty, kampanie).
  5. Akty wdrażające dokumentację – zarządzenia lub uchwały zarządu, wspólników albo osób zarządzających działami. Szczególnie w spółkach prawa handlowego dokumentacja RODO powinna zostać formalnie przyjęta.

Szkolenia dla zespołu

Audyt i wdrożenie RODO zakończ szkoleniem personelu. Zapoznaj zespół z zasadami ochrony danych. Najważniejsze zagadnienia:

  • Zabezpieczanie danych osobowych na stanowisku pracy oraz poza obszarami przetwarzania danych.
  • Stosowanie wdrożonej dokumentacji ochrony danych osobowych w codziennej pracy.

Kto powinien przeprowadzić audyt RODO?

Nie ma przepisu, który wskazuje, kto dokładnie musi przeprowadzić audyt. Może to zrobić sam administrator danych (osoba lub podmiot przetwarzający dane) albo zatrudniony do tego specjalista.

Zasada decyzji: Dopasuj kompetencje audytora do skali zadania.

  • Jeśli przetwarzasz proste dane w niewielkiej ilości – audyt może przeprowadzić osoba z podstawową wiedzą o RODO.
  • Jeśli przetwarzasz dane wrażliwe lub duże wolumeny danych – zlecaj audyt specjaliście z doświadczeniem w ochronie danych.

Audyt RODO w firmie najlepiej zlecić zewnętrznemu podmiotowi, który sprawdzi i oceni każdy element działania firmy.

Dane wrażliwe – kogo dotyczą?

Dane wrażliwe (poufne) to dane osobowe ujawniające stan zdrowia fizyczny lub psychiczny osoby oraz usługi opieki zdrowotnej, z których korzysta. Obejmują m.in.:

  1. Numer, symbol lub oznaczenie przypisane osobie w celu identyfikacji do celów zdrowotnych.
  2. Informacje z badań laboratoryjnych lub lekarskich, w tym dane genetyczne i próbki biologiczne.
  3. Informacje o przebytych chorobach, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu, stanie fizjologicznym lub biomedycznym.

Uwaga: To nie dotyczy wyłącznie szpitali i klinik. Takimi danymi dysponują również gabinety z branży beauty, przychodnie fizjoterapeutyczne, a nawet trenerzy personalni – którzy przed rozpoczęciem ćwiczeń powinni przeprowadzić wywiad o stanie zdrowia klienta.

Jeśli zbierasz dane wrażliwe:

  • Sprawdź formularz zgody pacjenta na przetwarzanie danych – dostosuj go do definicji zgody i warunków jej wyrażania z RODO.
  • Powołaj Inspektora Ochrony Danych Osobowych – przy przetwarzaniu danych wrażliwych jest to wymagane.

Wyznaczenie Inspektora Ochrony Danych (IOD)

Audyt i spisanie zasad przetwarzania danych to początek, nie koniec. Następnie zadbaj o to, żeby bieżące procesy przetwarzania danych przebiegały prawidłowo.

Inspektor Ochrony Danych (IOD) na bieżąco dba o właściwe przetwarzanie danych osobowych w firmie. Jego powołanie nie zawsze jest obowiązkowe, ale będzie wymagane, gdy przetwarzasz znaczne ilości danych lub dane wrażliwe.

Dwa modele obsadzenia stanowiska IOD

  1. Pracownik wewnętrzny – pamiętaj, że IOD musi być niezależny od zarządu. Powinien mieć możliwość kontrolowania swoich przełożonych w zakresie ochrony danych. Nie zawsze będzie to wygodne ani wykonalne.
  2. Outsourcing IOD – powierzenie roli osobie spoza firmy. Zewnętrzny inspektor nie ma przeszkód w kontrolowaniu władz spółki, co ułatwia rzetelne wykonywanie funkcji.

Co robi dobry IOD?

  • Przeprowadza okresowe audyty w poszczególnych działach firmy.
  • Kontroluje bieżący sposób przetwarzania danych.
  • Oferuje pomoc i edukację w zakresie RODO – działa prewencyjnie.

Jak wdrożyć RODO – plan działania krok po kroku

Przepisy RODO to wymagająca materia. Dochodzi do tego przyzwyczajenie do swobodnego obchodzenia się z danymi sprzed 2018 roku. Jeśli wdrażasz RODO, zrób to dokładnie:

  1. Przeprowadź audyt – zmapuj stan obecny.
  2. Przygotuj mapę pozyskiwania i przepływu danych – ustal, skąd dane trafiają do firmy i dokąd są przekazywane.
  3. Dostosuj dokumentację – polityki, rejestry, umowy powierzenia, klauzule zgód.
  4. Wyedukuj pracowników – szkolenia, materiały, przewodniki.
  5. Dostosuj systemy IT – zabezpieczenia techniczne i teleinformatyczne.
  6. Prowadź bieżący monitoring – kontroluj przestrzeganie zasad RODO na co dzień.

Przepisy RODO to jedno, ale dla Twojej firmy najważniejsza jest działalność biznesowa. Tylko podejście łączące audyt z mapowaniem procesów biznesowych pozwala dopasować dokumentację do tego, jak firma faktycznie działa.

Wdrożenie RODO na szeroką skalę daje Ci rozeznanie w procesach firmy i upraszcza m.in. rekrutację, sprzedaż czy marketing.

Korzyści biznesowe z audytu RODO – marketing i sprzedaż

Zgodność z prawem to oczywista korzyść. Ale z punktu widzenia bieżącej działalności ważniejsze jest dopasowanie reguł RODO do potrzeb biznesowych.

Dwa obszary, na które zwróć szczególną uwagę

  1. Marketing – tu ryzyko błędu (i dotkliwych konsekwencji) jest najwyższe, szczególnie gdy przetwarzasz dane konsumentów.
  2. Sprzedaż – element nierozerwalnie połączony z marketingiem. Dobrze przygotowany proces RODO pozwala np. na sprawny upsell.

Typowe błędy do uniknięcia

Wśród przedsiębiorców funkcjonuje wiele nieprawdziwych przekonań o RODO. Często firmy bombardują użytkowników checkboxami i formułkami prawnymi – zupełnie niepotrzebnie.

Dobrze przeprowadzony audyt pozwala określić lub dodać takie podstawy prawne, które znacząco uproszczą Twoje działania marketingowe i sprzedażowe.

Case study: wdrożenie RODO w Travelist Sp. z o.o.

Kancelaria Sawaryn i Partnerzy przeprowadzała audyt i wdrożenie RODO w spółce Travelist Sp. z o.o. (www.travelist.pl).

Travelist to pierwszy polski usługodawca w zakresie rezerwacji wypoczynku, udostępniający użytkownikom specjalne oferty turystyczne. Spółka jest częścią międzynarodowej grupy Secret Escapes – największego na świecie klubu wycieczkowego, którego oferty docierają do milionów osób w 20 krajach na 3 kontynentach.

Zakres prac

  • Zbadanie, przygotowanie i wdrożenie wszystkich wymaganych dokumentów i procesów – we współpracy z pracownikami spółki oraz zagranicznymi prawnikami obsługującymi grupę Secret Escapes.
  • Przeprowadzenie procesów w języku polskim i częściowo angielskim.
  • Sporządzenie pełnej mapy pozyskiwania, przepływu i przetwarzania danych osobowych – poprzez analizę działalności każdego działu spółki.
  • Ocena możliwości wykorzystania marketingowego posiadanych i pozyskiwanych danych osobowych. Współpraca z działem marketingu i sprzedaży Travelist.pl pozwoliła wypracować rozwiązania gwarantujące ochronę konsumentów, a jednocześnie umożliwiające wykorzystanie danych w biznesie.
  • Wdrożenie dokumentacji ochrony danych.
  • Szkolenie personelu w wersji hybrydowej: spotkanie stacjonarne oraz szkolenie online dostępne stale dla wszystkich pracowników.
  • Przygotowanie e-booka – przewodnika dla pracowników każdego działu.
  • Objęcie funkcji Inspektora Ochrony Danych Osobowych w spółce (outsourcing IOD).

Case study: wdrożenie RODO w Depilacja.pl

Depilacja.pl to największa w Polsce sieć salonów depilacji laserowej. Spółka oferuje usługi w ponad 25 miastach w całym kraju i rozwija się za granicą – salony funkcjonują w Wielkiej Brytanii i Brazylii. Prawnicy Kancelarii Sawaryn i Partnerzy uczestniczyli w procesie wdrożenia RODO/GDPR i obecnie sprawują bieżącą kontrolę nad przetwarzaniem danych w tej spółce.

Najczęściej zadawane pytania

Od czego najlepiej zacząć wdrożenie RODO w firmie? Zacznij od wewnętrznego audytu – zinwentaryzuj wszystkie procesy, w których Twoja firma gromadzi i wykorzystuje dane osobowe. Audyt obejmuje cztery obszary: inwentaryzację czynności przetwarzania, sprawdzenie dokumentacji, analizę reagowania na incydenty oraz identyfikację procesów podatnych na zagrożenia. Bez tego kroku nie ustalisz, co wymaga zmiany i jakie dokumenty musisz przygotować.


Jakie dokumenty trzeba przygotować przy wdrożeniu RODO? Przygotuj pięć elementów: politykę bezpieczeństwa ochrony danych osobowych opisującą zasady przetwarzania, rejestr czynności przetwarzania danych z procedurami aktualizacji, umowy powierzenia przetwarzania danych z każdym podwykonawcą (księgowi, marketerzy), klauzule zgody na przetwarzanie danych do celów marketingowych oraz akty wdrażające dokumentację – zarządzenia lub uchwały zarządu formalnie przyjmujące całą dokumentację RODO. Nie kopiuj polityki bezpieczeństwa z internetu – powinna odzwierciedlać to, jak Twoja firma faktycznie działa.


Kiedy firma musi powołać Inspektora Ochrony Danych? Powołanie Inspektora Ochrony Danych jest wymagane, gdy przetwarzasz znaczne ilości danych osobowych lub dane wrażliwe – np. dane o stanie zdrowia, historii medycznej czy wynikach badań. Dotyczy to nie tylko szpitali i klinik, ale też gabinetów beauty, przychodni fizjoterapeutycznych czy trenerów personalnych, którzy zbierają informacje o zdrowiu klientów.


Czy audyt RODO można zrobić samodzielnie, czy lepiej zlecić go na zewnątrz? Dopasuj kompetencje audytora do skali zadania. Jeśli przetwarzasz proste dane w niewielkiej ilości, audyt może przeprowadzić osoba z podstawową wiedzą o RODO, ale jeśli przetwarzasz dane wrażliwe lub duże wolumeny danych – zlecaj audyt specjaliście z doświadczeniem w ochronie danych. Zewnętrzny podmiot sprawdzi i oceni każdy element działania firmy bez wewnętrznych ograniczeń i konfliktu interesów.


Jak wdrożenie RODO może realnie pomóc w marketingu i sprzedaży? Dobrze przeprowadzony audyt pozwala określić lub dodać podstawy prawne, które znacząco upraszczają działania marketingowe i sprzedażowe – zamiast bombardować użytkowników checkboxami i zbędnymi formułkami prawnymi. Wdrożenie RODO na szeroką skalę daje rozeznanie w procesach firmy, a dopasowanie reguł ochrony danych do potrzeb biznesowych umożliwia np. sprawny upsell przy jednoczesnej ochronie konsumentów.

Zostaw numer telefonu
Odezwiemy się najszybciej jak to możliwe.


    The administrator of your personal data is Sawaryn i Partnerzy sp. k. with its registered office in Warsaw (00-040), ul. Warecka 4/6 lok. 6. Your personal data will be processed in order to respond to the submitted inquiry and to archive the form. More information can be found in our
    Regulaminie
    and
    Polityce Prywatności.



    Share this article:
    Generic selectors
    Exact matches only
    Search in title
    Search in content
    Post Type Selectors
    Contents
    Suggested articles
    RODO - Kogo dotyczy Ochrona Danych Osobowych?
    Temat RODO to dla wielu wciąż tajemnica – nie wiedzą...
    1 7 8 9