RODO | sierpień 2020

Wdrożenie RODO w firmie - Audyt danych osobowych (RODO/GDPR) i outsourcing IOD

8 minut

Wdrożenie RODO spowodowało przekształcenie przepisów dotyczących wykorzystywania danych osobowych. Wszystkie firmy oraz przedsiębiorstwa, przetwarzające tego typu dane, muszą od tej pory dostosować się do nowo obowiązujących przepisów.

Co to dokładnie oznacza i w jaki sposób sprawdzić, czy nasza firma spełnia wymogi RODO? Jakie mamy ewentualne możliwości na zmiany? Jak wdrożyć RODO w firmie, aby nie narazić się na wysokie kary za nieprzestrzeganie nowych zasad?
 

Wdrażanie RODO w firmie – na czym polega audyt bezpieczeństwa danych?

Bardzo rozsądnym i bezpiecznym podejściem do tematu (które powinno towarzyszyć każdemu przedsiębiorstwu), jest rozpoczęcie od wewnętrznego audytu zgodności z RODO – a więc od specjalistycznego sprawdzenia i oceny, w jaki sposób dane osobowe w naszej firmie są gromadzone i wykorzystywane.

Odpowiednio przeprowadzony audyt w RODO polega na:

  1. Przeprowadzeniu inwentaryzacji czynności, w ramach których są przetwarzane dane osobowe – a więc pełne skanowanie spółki, w celu opisania wszystkich procesów, w których wykorzystywane są dane osobowe;
  2. Sprawdzeniu i ocenie dokumentacji, której zawartość stanowią dane osobowe – począwszy od sprawdzenia, w jakich dokumentach dane się znajdują po ocenę czy są zbierane zgodnie z przepisami oraz w jaki sposób można z nich korzystać;
  3. Analizie sposobów reagowania na incydenty, które skutkują naruszeniem danych osobowych oraz przygotowaniu procesów mających zastosowanie w takich sytuacjach;
  4. Analizie obszarów przetwarzania danych osobowych podatnych na zagrożenia wraz z identyfikacją potencjalnego ryzyka – przykładowo choćby w przypadku przetwarzania wrażliwych danych osobowych jak dane o zdrowiu

oraz wielu innych czynnościach.

Nieodłącznym elementem planu wdrożenia RODO/GDPR jest przygotowanie odpowiedniej dokumentacji:

  1. Przygotowanie i wdrożenie polityki bezpieczeństwa ochrony danych osobowych, która dotyczy głównych zasadach przetwarzania danych w Spółce. Wiele osób nie docenia wagi tego dokumentu (np. kopiując go z Internetu) - odpowiednie spisanie polityki ochrony danych osobowych pozwana na dobre zarządzanie danymi w organizacji;
  2. Przygotowanie i wdrożenie rejestru czynności przetwarzania danych oraz procedur, które służą do utrzymania aktualności tego rejestru – znacząco ułatwia to zarządzanie danymi w Spółce, szczególnie ważne jest to w organizacjach, które przetwarzają np. tysiące danych marketingowych;
  3. Przygotowanie i wdrożenie umów powierzenia przetwarzania danych wraz z rekomendacjami, dotyczącymi ich stosowania oraz monitorowania ich przestrzegania. Jest to kluczowe działanie w małych i dużych przedsiębiorstwach - codziennością jest korzystanie z pomocy podwykonawców (księgowych, marketerów, itp.). Często w takich sytuacjach dochodzi do powierzenia przetwarzania danych osobowych swoich pracowników i klientów podmiotom trzecim. Koniecznym wtedy jest zawarcie odpowiedniej umowy, gwarantującej ochronę Spółce;
  4. Przygotowanie i wdrożenie klauzul zgody na przetwarzanie danych osobowych – ma to kluczowe znaczenie dla wykorzystania danych w procesach marketingowych (np.: wysyłka newsletterów, ofert);
  5. Przygotowanie aktów, wdrażających dokumentację ochrony danych osobowych – mowa o zarządzeniach, czy uchwałach, które (szczególnie w spółkach prawa handlowego) powinny zostać formalnie wdrożone uchwałami zarządu, wspólników lub osób zarządzających określonymi działami w firmie,

oraz wielu innych, specjalistycznych dokumentów.

Finalnie, dobry audyt i wdrożenie RODO powinno zakończyć się przygotowaniem szkoleń dla personelu spółki, aby zapoznać wszystkich z zasadami ochrony danych osobowych. Kluczowe zagadnienia w ramach takiego szkolenia to przykładowo:

  1. Zabezpieczanie danych osobowych na stanowisku pracy oraz poza obszarami przetwarzania danych,
  2. Stosowanie wyżej wymienionej dokumentacji potrzebnej do ochrony danych osobowych etc.
     

Jak przeprowadzić audyt RODO w firmie? – Z nami to proste!

Audyty RODO w firmie najlepiej zlecić odpowiedniemu zewnętrznemu podmiotowi, który w dokładny i szczegółowy sposób sprawdzi i oceni każdy element działania Spółki.
 


Jako Kancelaria Sawaryn i Partnerzy mieliśmy okazję przeprowadzać audyt, a następnie wdrożenie RODO m.in. w spółce Travelist Sp. z o.o. – www.travelist.pl.


Travelist jest pierwszym, polskim usługodawcom w zakresie rezerwacji wypoczynku, udostępniającym użytkownikom serwisu specjalne oferty turystyczne. Stanowi część międzynarodowej grupy Secret Escapes – największego na świecie klubu wycieczkowego, którego oferty docierają do milionów osób w 20 krajach na 3 kontynentach. Prawnicy naszej Kancelarii przeprowadzali w spółce audyt, a następnie proces wdrożenia RODO/GDPR.

Zadaniem naszej Kancelarii było zbadanie, a następnie przygotowanie i wdrożenie wszystkich wymienionych dokumentów i wymogów przy współpracy z pracownikami Spółki oraz zagranicznymi prawnikami, obsługującymi grupę Secret Escapes.

Praca w międzynarodowym teamie wymagała przeprowadzenia procesów w języku polskim i częściowo angielskim. W ramach prowadzonego audytu sporządziliśmy pełną mapę pozyskiwania oraz przepływu i przetwarzania danych osobowych w spółce. Proces ten odbywał się poprzez analizę działalności każdego kolejnego działu spółki.

Ponadto, szczególnie dużo pracy poświęciliśmy na właściwą ocenę możliwości wykorzystania marketingowego posiadanych i pozyskiwanych danych osobowych. Dzięki współpracy z działem marketingu i sprzedaży Travelist.pl udało się wypracować pionierskie (jak na czas wejścia w życie RODO) rozwiązania w zakresie pozyskiwania i wykorzystania danych, które gwarantowały pełną ochronę konsumentów, a jednocześnie pozwalały na ich wykorzystanie w biznesie.

Działania naszej Kancelarii objęły także:

  1. Wdrożenie dokumentacji ochrony danych,
  2. Szkolenie personelu, które odbyło w wersji hybrydowej: klasycznego spotkania oraz szkolenia w wersji online - dostępnego stale dla wszystkich pracowników spółki,
  3. Przygotowaniu ebooka w formie przewodnika dla pracowników każdego z działów Spółki,
  4. Oficjalne objęcie funkcji Inspektora Ochrony Danych Osobowych w Spółce – na zasadzie outsourcingu tej funkcji.
     

Wyznaczenie funkcji Inspektora Danych Osobowych (IOD) i optymalizacja procesów ochrony danych osobowych (outsourcing)

Wykonanie audytu i sprecyzowanie zasad przetwarzania danych osobowych to nie koniec, a początek drogi – następnie należy zadbać o to, aby w organizacji również dalsze procesy przetwarzania danych przebiegały w sposób właściwy.

Efektem przeprowadzonego audytu może być stwierdzenie konieczności wyznaczenia Inspektora Ochrony Danych osobowych. Funkcją takiego inspektora jest bieżące dbanie o właściwe przetwarzanie danych osobowych w firmie. Jego powołanie nie zawsze jest obowiązkowe, jednak z reguły będzie koniecznie w firmach, które przetwarzają znaczne ilości danych lub dane poufne.

W praktyce są dwie możliwości zagospodarowania stanowiska inspektora ochrony danych:

  1. Powierzenie tej funkcji osobie z grona pracowników firmy – choć trzeba pamiętać, że ta osoba w ramach sprawowanej funkcji musi być niezależna od np. Zarządu Spółki. Co więcej, powinna być w stanie kontrolować swoje szefostwo w zakresie ochrony danych osobowych. Nie zawsze będzie to więc wygodne czy nawet możliwe.
  2. Skorzystanie z możliwości outsourcingu IOD i tym samym powierzenie tej roli osobie spoza spółki. Takie rozwiązanie wydaje się o tyle łatwiejsze, że zewnętrzna osoba nie ma przeszkód w odpowiednim skontrolowaniu np. władz spółki.
     

Rolą dobrego Inspektora danych jest bieżące kontrolowanie sposobu przetwarzania danych w spółce, poprzez np. okresowe audyty w poszczególnych działach spółki. Ponadto IOD powinien także oferować pomoc i edukacje w zakresie RODO – działając w ten sposób prewencyjnie.



Kto przeprowadza audyt wewnętrzny RODO?

Nie ma prawnych wymogów, określających kto dokładnie powinien przeprowadzać audyt RODO – może to być sam administrator danych (osoba, podmiot, który je przetwarza) lub zatrudniona do tego osoba. Warto zadbać, aby był to ktoś, kogo wiedza będzie dostosowana do skali trudności zadania.

Przykładowo, inaczej będzie przebiegał audyt RODO, gdy w Spółce przetwarzane są proste dane, w niewielkiej ilości, a inaczej gdy Spółka przetwarza dane wrażliwe w dodatku w sporej ilości.

Dane wrażliwe(poufne) to wszelkie dane osobowe, ujawniające stan zdrowia fizyczny lub psychiczny osoby oraz usługi opieki zdrowotnej, z których korzysta. Do danych takich należą m.in. informacje o osobie fizycznej, zbierane w trakcie procesu rejestracji lub świadczenia usług opieki zdrowotnej:

  1. Numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania jej do celów zdrowotnych;
  2. Informacje pochodzące z badań laboratoryjnych lub lekarskich, w tym danych genetycznych i próbek biologicznych;
  3. Wszelkie informacje o przebytych chorobach, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym, stanie fizjologicznym lub biomedycznym.

Wbrew pozorom, taka sytuacja nie będzie dotyczyła tylko szpitali czy klinik. Obecnie takim danymi bardzo często dysponuję wszelkie gabinety z branży „beauty”, gabinety lub przychodnie fizjoterapeutyczne czy nawet trenerzy personalni – którzy przed przystąpieniem do ćwiczeń powinni zrobić wywiad, odnośnie do stanu zdrowia swoich klientów.
 


Zbieranie i wykorzystywanie takich danych wrażliwych, a także ocena czy są one przetwarzane prawidłowo, wymaga szczegółowej znajomości przepisów RODO i nie tylko - ich przetwarzanie wymaga powołania Inspektora Ochrony Danych Osobowych.

Szczególną uwagę trzeba zwrócić, chociażby na formularz zgody pacjenta na przetwarzanie danych osobowych, który należy dostosować do definicji zgody i warunków jej wyrażania zamieszczonych w RODO.
 


Nasza Kancelaria miała okazję prowadzić audyt i wdrożenie RODO w Spółce, zbierającej i wykorzystującej w działalności dane wrażliwe.


Działająca od czterech lat Depilacja.pl jest największą w Polsce siecią salonów depilacji laserowej. Swoje usługi Spółka oferuje w salonach w ponad 25 miastach w całym kraju, rozwija się również za granicą – pierwsze salony funkcjonują już w Wielkiej Brytanii i Brazylii. Prawnicy naszej Kancelarii uczestniczyli w procesie wdrożenia RODO/GDPR, a obecnie dbają i sprawują kontrolę nad bieżącym przetwarzaniem danych w tej Spółce.
 

RODO - Jak wdrożyć?

Solidne podejście do tematu nie jest łatwe. Przepisy RODO to skomplikowana materia, narzucająca sporo nowych wymogów. Do tego dochodzi częste przyzwyczajenie do dość swobodnego obchodzenia się z danymi osobowymi, które jest pozostałością po czasach sprzed roku 2018.

Jeżeli decydujesz się na wdrożenie RODO, najlepiej zrobić to w kompleksowy i dokładny sposób:

  1. Zacząć od audytu,
  2. Przygotować mapę pozyskiwana i przepływu danych,
  3. Dostosować dokumentację,
  4. Wyedukować pracowników,
  5. Dostosować systemy teleinformatyczne i systemy IT,
  6. Prowadzić bieżący monitoring przestrzegania zasad RODO.
     

Należy pamiętać, że przepisy RODO to jedno, lecz dla każdej spółki najważniejsza jest jej działalność biznesowa. Tylko takie podejście do tematu jak wyżej przedstawione, gwarantuje pełne dostosowanie działań i dokumentacji do biznesowych procesów w Spółce.

Podjęcie tematu wdrożenia RODO na szeroką skalę pozwala na dobre rozeznanie się w wartościach i celach danej firmy, dzięki czemu ułatwi wiele procesów danej spółki, m.in. proces rekrutacji, sprzedaży czy marketingu.
 

Zalety audytu wewnętrznego RODO – wykorzystanie marketingowe

Wykonanie audytu i wdrożenie RODO niesie za sobą pewne oczywiste zalety, jest nią np. zgodność działań i dokumentacji firmy z obowiązującym prawem.

Z punktu widzenia bieżącej działalności danej Spółki, ważniejsze jest również wartościowe dopracowanie reguł RODO do biznesowych potrzeb. Szczególnie w branży e-commerce (a także dla wszystkich prowadzących działalność z pomocą Internetu) kluczowe będzie dopasowanie RODO do dwóch zakresów działalności:

  1. Marketingu prowadzonego przez Spółkę – to także jedno z pól, gdzie ryzyko błędu (i poniesienia dotkliwych konsekwencji) jest najwyższe. Szczególnie gdy firma przetwarza dane konsumentów;
  2. Sprzedaży prowadzonej przez Spółkę – elementu nieodwołalnie połączonego z marketingiem. Dobre przygotowanie procesu RODO pozwala np. na łatwy i skuteczny upsell.
     

W świadomości przedsiębiorców funkcjonuje też sporo nieprawdziwych przekonań, odnoszących się do powyższych kwestii. Często zdarza się, że firmy bombardują użytkowników checkboxami czy prawnymi regułkami, od których brzmienia jeży się włos na głowie – i robią to zupełnie niepotrzebnie.

Dobre rozeznanie w toku prowadzonego audytu pozwala na określenie lub dodanie takich podstaw prawnych, które znacząco uproszczą prowadzenie marketingowych i sprzedażowych działań Spółki.

 

Jeżeli temat Cię zainteresował, zapraszamy do kontaktu! Chętnie porozmawiamy o szczegółowych kwestiach audytu czy wdrożenia RODO w Twojej firmie.

Zgłoś się do nas!

Napisz do nas!

 

Artykuł to za mało?

Jeśli wciąż nie znalazłeś odpowiedzi na swoje pytania lub potrzebujesz konsultacji - skorzystaj z naszej porady prawnej!

Wypełnij formularz kontaktowy, porozmawiajmy.

Skontaktuj się

Proponowane artykuły