RODO | sierpień 2020

Audyt RODO/GDPR oraz outsorcing IOD – na czym polegają, jak przeprowadzić audyt i wdrożyć RODO?

| 8 minut

Audyt RODO/GDPR oraz outsorcing IOD – na czym polegają, jak przeprowadzić audyt i wdrożyć RODO?

W czerwcu 2018 weszło w życie tak zwane „RODO” – a więc Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Wprowadzenie RODO spowodowało, że wszystkie firmy czy przedsiębiorstwa przetwarzające dane osobowe muszą dostosować sposób wykorzystania danych osobowych do nowych przepisów.

Co to dokładnie oznacza i jak sprawdzić czy nasza firma spełnia wymogi RODO? Co ewentualnie zmienić oraz o czym myśleć aby nie narazić się na wysokie kary za nieprzestrzeganie zasad RODO?

 

Audyt RODO/GDPR na czym polega?

Żeby poważnie podejść do tematu każde przedsiębiorstwo powinno zacząć od audytu RODO – a więc od sprawdzenia i oceny w jaki sposób gromadzone i wykorzystywane są dane osobowe.
 

Odpowiednio przeprowadzony audyt RODO w firmie polega na:

  1.  Przeprowadzeniu inwentaryzacji czynności, w ramach których są przetwarzane dane osobowe – a więc pełne skanowanie spółki, w celu opisania wszystkich procesów w których wykorzystywane są dane osobowe,
  2.  Sprawdzeniu i ocenie dokumentacji, w której znajdują się dane osobowe – począwszy od sprawdzenia w jakich dokumentach dane się znajdują po ocenę czy są zbierane zgodnie z przepisami oraz w jaki sposób można z nich korzystać,
  3.  Analizie sposobów reagowania na incydenty skutkujące naruszeniem danych osobowych i przygotowanie procesów mających zastosowanie w takich sytuacjach,
  4.  Analizie obszarów przetwarzania danych osobowych podatnych na zagrożenia wraz z identyfikacją potencjalnego ryzyka – przykładowo choćby w przypadku przetwarzania wrażliwych danych osobowych jak dane o zdrowiu,

oraz wielu innych czynnościach.
 

Do tego nieodłącznym elementem audytu RODO/GDPR jest przygotowanie odpowiedniej dokumentacji:

  1.  Przygotowanie i wdrożenie polityki bezpieczeństwa ochrony danych osobowych – która stanowi o głównych zasadach przetwarzania danych w spółce. Wiele osób nie docenia wagi tego dokumentu (np. kopiując go z Internetu), a odpowiednie spisanie polityki ochrony danych osobowych pozwana na dobre zarządzanie danymi w organizacji;
  2.  Przygotowanie i wdrożenie rejestru czynności przetwarzania danych oraz procedur służących utrzymaniu aktualności rejestru – co także znacząco ułatwia zarządzanie danymi w spółce, szczególnie w organizacjach przetwarzających np. tysiące danych marketingowych jest to wyjątkowo ważne;
  3.  Przygotowanie i wdrożenie umów powierzenia przetwarzania danych wraz rekomendacjami dotyczącymi ich stosowania oraz monitorowania ich przestrzegania – jest to kluczowe działanie, tak w małych jak i dużych przedsiębiorstwach. Codziennością jest korzystanie z pomocy podwykonawców tacy jak księgowi, marketerzy. W takich sytuacjach dochodzi do powierzenia przetwarzania danych osobowych np. pracowników i klientów podmiotom trzecim. W takim przypadku konieczne jest zawarcie odpowiedniej umowy, gwarantującej ochronę spółce,
  4.  Przygotowanie i wdrożenie klauzul zgody na przetwarzanie danych osobowych – co ma kluczowe znaczenie dla wykorzystania danych w procesach marketingowych, takich jak wysyłanie newslettera czy wysyłka ofert;
  5.  Przygotowanie aktów wdrażających dokumentację ochrony danych osobowych – chodzi o zarządzenia, uchwały itp., które szczególnie w spółkach prawa handlowego powinny zostać formalnie wdrożone uchwałami zarządu, wspólników lub osób zarządzających danymi działami w firmie,
     

oraz wielu innych , specjalistycznych dokumentów.
 

Finalnie, dobry audyt GDPR/RODO powinien zakończyć się przygotowaniem szkoleń dla personelu spółki celem zapoznania go z zasadami ochrony danych osobowych. Kluczowe w ramach takiego szkolenia są przykładowo:

  1.  Edukacja, jak zabezpieczać dane osobowe na stanowisku pracy oraz poza obszarami przetwarzania danych,
  2.  Edukacja jak stosować wcześniej wymienioną dokumentację potrzebną do ochrony danych osobowych etc.

 

Jak przeprowadzić audyt RODO w firmie?

Najlepiej zlecić przeprowadzenie takiego audytu zewnętrznemu podmiotowi, który nie będzie widział przeszkód, aby sprawdzić i ocenić każdy element działania spółki.

Kancelaria Sawaryn i Partnerzy miała okazję przeprowadzać audyt  GDPR, a następnie wdrożenie RODO dla spółki Travelist Sp. o.o. – www.travelist.pl.

Travelist jest pierwszym polskim klubem wycieczkowym, udostępniającym użytkownikom serwisu specjalne oferty turystyczne. Stanowi część międzynarodowej grupy Secret Escapes – największego na świecie klubu wycieczkowego, którego oferty docierają do milionów osób w 20 krajach na 3 kontynentach. Prawnicy Kancelarii przeprowadzali w spółce audyt, następnie proces wdrożenia RODO/GDPR

Zadaniem Kancelarii było zbadanie, a następnie przygotowanie i wdrożenie wszystkich wymienionych dokumentów i wymogów przy współpracy z pracownikami spółki oraz zagranicznymi prawnikami obsługującymi grupę Secret Escapes. Praca w międzynarodowym teamie wymagała przeprowadzenia procesów w języku polskim i częściowo angielskim. W ramach prowadzonego audytu GDPR, prawnicy kancelarii sporządzili pełną mapę pozyskiwania, przepływu i przetwarzania danych osobowych w spółce. Proces ten odbywał się poprzez analizę działalności każdego kolejnego działu spółki. Ponadto, szczególnie dużo pracy poświęcono na właściwą ocenę możliwości wykorzystania marketingowego posiadanych i pozyskiwanych danych osobowych. Dzięki współpracy z działem marketingu i sprzedaży Travelist.pl, udało się wypracować pionierskie (jak na czas wejścia w życie RODO) rozwiązania w zakresie pozyskiwania i wykorzystania danych, które gwarantowały pełną ochronę konsumentów, a jednocześnie pozwalały na ich wykorzystanie w biznesie.

Do tego działania Kancelarii objęły także:

  1.  Wdrożenie dokumentacji ochrony danych,
  2.  Szkolenie personelu, które odbyło się tak w formie klasycznej jak i poprzez przygotowanie szkolenia online, dostępnego stale dla wszystkich pracowników spółki,
  3.  Przygotowaniu ebooka, podsumowującego zasady RODO i stanowiącego przewodnik dla pracowników każdego z działów spółki,
  4.  Jak i finalnie objęcie funkcji inspektora ochrony danych osobowych w spółce – na zasadzie outsourcingu tej funkcji.
     

Masz dodatkowe pytania lub wątpliwości? Napisz do nas: 

https://sawaryn.com/kontakt.html


 

Wyznaczenie lub outsourcing IOD – inspektora ochrony danych osobowych.

Efektem przeprowadzonego audytu może być stwierdzenie konieczności wyznaczenia inspektora ochrony danych osobowych. Funkcją takiego inspektora jest bieżące dbanie o właściwe przetwarzanie danych osobowych w firmie. Wykonanie audytu i sprecyzowanie zasad przetwarzania danych osobowych to przecież nie koniec, a początek drogi – następnie należy zadbać o to, aby w organizacji także dalszy proces przetwarzania danych przebiegał właściwie.

Taka jest też funkcja Inspektora ochrony danych osobowych. Jego powołanie nie zawsze jest obowiązkowe, z reguły będzie koniecznie w firmach, które przetwarzają znaczne ilości danych lub dane wrażliwe.

W praktyce są dwie możliwości zagospodarowania stanowiska inspektora ochrony danych:

  1.  Albo powierzenie tej funkcji osobie z grona np. pracowników firmy – choć trzeba pamiętać, że ta osoba w ramach sprawowanej funkcji musi być niezależna od np. zarządu, co więcej powinna być w stanie kontrolować swoje szefostwo w zakresie ochrony danych osobowych. Nie zawsze będzie to więc wygodne czy nawet możliwe.
  2.  Skorzystanie z możliwości outsourcingu IOD i tym samym powierzenie tej roli osobie spoza spółki. Takie rozwiązanie wydaje się o tyle łatwiejsze, że zewnętrzna osoba nie ma przeszkód w odpowiednim skontrolowaniu np. władz spółki.
     

Rolą dobrego Inspektora danych jest bieżące kontrolowanie sposobu przetwarzania danych w spółce, poprzez np. okresowe audyty w poszczególnych działach spółki. Ponadto IOD powinien także oferować pomoc i edukacje w zakresie RODO – działając w ten sposób prewencyjnie.

 

Kto przeprowadza audyt RODO?

Nie ma prawnych wymogów, określających kto dokładnie przeprowadza audyt RODO – może to być sam administrator danych (osoba, podmiot, który je przetwarza) lub zatrudniona do tego osoba. Warto zadbać aby był to ktoś, czyja wiedza będzie dostosowana do skali trudności zadania.

Przykładowo, inaczej będzie przebiegał audyt RODO gdy w spółce przetwarzane są proste dane, w niewielkiej ilości, a inaczej gdy spółka przetwarza dane wrażliwe i to jeszcze w sporej ilości.

Dane wrażliwe to na przykład wszelkie dane osobowe ujawniające stan zdrowia fizycznego lub psychicznego osoby fizycznej oraz usług opieki zdrowotnej, z których korzysta. Do danych takich należą przykładowo informacje o osobie fizycznej zbierane w trakcie procesu rejestracji lub świadczenia usług opieki zdrowotnej, takie jak:

  1.  Numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania jej do celów zdrowotnych;
  2.  Informacje pochodzące z badań laboratoryjnych lub lekarskich, w tym danych genetycznych i próbek biologicznych;
  3.  Wszelkie informacje o przebytych chorobach, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym.
     

Wbrew pozorom, taka sytuacja nie będzie dotyczyła tylko szpitali czy klinik. Obecnie takim danymi bardzo często dysponuję wszelkie gabinety z branży „beauty”, gabinety czy przychodnie fizjoterapeutyczne czy nawet trenerzy personalni – którzy przed przystąpieniem do ćwiczeń powinni zrobić wywiad co do stanu zdrowia swoich klientów.


Zbieranie i wykorzystywanie takich danych wrażliwych, a także ocena czy są one przetwarzane prawidłowo, wymaga szczegółowej znajomości przepisów RODO i nie tylko. Ponadto, ich przetwarzanie wymaga powołania Inspektora Ochrony Danych Osobowych.

Szczególną uwagę trzeba zwrócić chociażby na formularz zgody pacjenta na przetwarzanie danych osobowych, który należy dostosować do definicji zgody i warunków jej wyrażania zamieszczonych w RODO.

Kancelaria miała okazję prowadzić audyt i wdrożenie RODO dla spółki zbierającej i wykorzystującej w działalności dane wrażliwe.

Działająca od czterech lat Depilacja.pl jest największą w Polsce siecią salonów depilacji laserowej. Swoje usługi spółka oferuje w salonach w ponad 25 miastach w całym kraju, rozwija się również za granicą – pierwsze salony funkcjonują już w Wielkiej Brytanii i Brazylii. Prawnicy Kancelarii uczestniczyli w procesie wdrożenia RODO/GDPR w spółce, a obecnie dbają i sprawują kontrolę nad bieżącym przetwarzaniem danych w tej spółce.
 


Potrzebujesz porady? Napisz do nas: 

https://sawaryn.com/kontakt.html


 

Jak wdrożyć RODO?

Solidne podejście do tematu nie jest łatwe. Przepisy RODO to skomplikowana materia, narzucająca sporo nowych wymogów. Do tego dochodzi częste przyzwyczajenie dość swobodnego obchodzenia się z danymi osobowymi – pozostałość po czasach sprzed roku 2018.

Jeżeli decydujesz się na wdrożenie RODO, najlepiej zrobić to już całościowo, a więc:

  1.  Zacząć od audytu,
  2.  Przygotować mapę pozyskiwana i przepływu danych,
  3.  Dostosować dokumentację,
  4.  Wyedukować pracowników,
  5.  Dostosować systemy teleinformatyczne i systemy IT,
  6.  A następnie prowadzić bieżący monitoring przestrzegania zasad RODO.
     

Należy pamiętać, że przepisy RODO to jedno, lecz dla każdej spółki najważniejsza jest jej działalność biznesowa. Tylko takie podejście do tematu jak wyżej, gwarantuje pełne dostosowanie działań i dokumentacji do biznesowych procesów w spółce Takie szerokie podjęcie tematu pozwala na dobre rozeznanie się w wartościach i celach danej firmy i na wdrożenie RODO, które będzie z nimi zgodne, a nie będzie stanowiło przeszkody np. w procesach rekrutacji, sprzedaży czy marketingu.

 

Zalety audytu RODO – wykorzystanie marketingowe

Wykonanie audytu i wdrożenie RODO niesie za sobą pewne oczywiste zalety, jaką jest np. zgodność działań i dokumentacji firmy z obowiązującym prawem.

Z punktu widzenia bieżącej działalności danej spółki, ważniejsze wydaje się jednak wartościowe dopracowanie reguł RODO do biznesowych potrzeb. Szczególnie w branży e-commerce (a także dla wszystkich prowadzących działalność z pomocą Internetu) kluczowe będzie dopasowanie RODO do dwóch zakresów działalności:

  1.  Marketingu prowadzonego przez spółkę – to także jedno z pól, gdzie ryzyko błędu (i poniesienia dotkliwych konsekwencji) jest najwyższe. Szczególnie gdy firma przetwarza dane konsumentów,
  2.  Sprzedaży prowadzonej przez spółkę – elementu nieodwołalnie połączonego z marketingiem. Dobre przygotowanie procesu pozwala np. na łatwy i skuteczny upsell.
     

W świadomości przedsiębiorców funkcjonuje też sporo nieprawdziwych przekonań odnoszących się do powyższych kwestii. Często zdarza się, że firmy bombardują użytkowników checkboxami czy prawnymi regułkami, od których brzmienia jeży się włos na głowie – i robią to zupełnie niepotrzebnie. Dobre rozeznanie w toku prowadzonego audytu pozwala na określenie czy dodanie takich podstaw prawnych, które znacząco uproszczą następnie prowadzenie marketingu czy sprzedaży.

Jeżeli temat Cię zainteresował, zapraszam do kontaktu – chętnie porozmawiam o bardziej szczegółowych kwestiach audytu czy wdrożenia RODO.

Artykuł to za mało?

Jeśli wciąż nie znalazłeś odpowiedzi na swoje pytania lub potrzebujesz konsultacji - skorzystaj z bezpłatnej porady prawnej!

Wypełnij formularz kontaktowy, porozmawiajmy

Skontaktuj się

Proponowane artykuły