Wdrożenie RODO w 15 krokach - opis praktyka

Wdrożenie systemu ochrony danych osobowych zgodnie z przepisami wielu organizacjom wydaje się nie do przebrnięcia. Jeżeli jednak podzielimy je na 15 mniejszych kawałków i rozłożymy w czasie może się okazać bardzo proste a wręcz banalne. Poniżej prezentuję przykładowy opis poszczególnych czynności, które powinny zostać wykonane by zapewnić zgodności niemal każdej organizacji z RODO.

1. Inwentaryzacja procesów.

W przypadku gdy organizacja nie miała nic wspólnego z ochroną danych osobowych do tej pory musimy od czegoś zacząć. Pierwszym działaniem powinna być inwentaryzacja procesów, czyli nic innego jak określenie ile jest procesów przetwarzania danych osobowych. Działanie to najłatwiej jest przeprowadzić korzystając ze struktury organizacyjnej. Na podstawie struktury szukamy wszystkich działań organizacji, które powodują pobranie danych osobowych. Kolejno identyfikujemy w jakim celu dane te są pobierane, czyli kolokwialnie mówiąc “Po co nam one?”. Kolejno do listy procesów dodajemy te działania, które nie powodują pobrania danych, gdyż już są one w organizacji. Jednak są one przetwarzane w innym celu niż ten dla którego je pobrano. Ostatecznie do naszej listy dodajemy te działania organizacji, które polegają na przetwarzaniu powierzonych danych osobowych przez inne podmioty. W ten sposób otrzymamy kompletną listę procesów. Jednak by mieć pewność że niczego nie pominęliśmy należy poszukać w organizacji takich danych osobowych, które nie pasują do żadnego że zidentyfikowanych procesów. Jeżeli tak się stanie to musimy wyodrębnić jeszcze jeden proces. W kolejnym kroku powinniśmy przypisać właścicieli do procesów, jednak w mniejszych organizacjach możemy ten etap pominąć. Po prostu nie ma do kogo przypisywać procesów. Generalnie chodzi o to by był ktoś odpowiedzialny za proces. Produktem działania jest lista procesów z przypisanymi właścicielami.

2. Audyt zgodności z RODO.

W kolejnym kroku przechodzimy do zweryfikowania na ile cała organizacja jest zgoda RODO. Dodatkowo każdy proces przetwarzania danych osobowych będziemy weryfikowali osobno na zgodność z RODO. Jednak zanim przejdziemy do samego audytu musimy przygotować narzędzie do jego przeprowadzenia. W praktyce powinniśmy stworzyć listę kontrolną dla organizacji jako całości oraz listę do badania procesów. Jeżeli korzystamy z usług wielu dostawców zewnętrznych to powinniśmy również dla nich przygotować listę kontrolną. Tworzenie listy kontrolnej zaczynamy od tekstu RODO, każdy przepisy (jeżeli ma zastosowanie do naszej organizacji) zamieniamy na pytanie w liście kontrolnej. Kolejno przechodzimy do aktów prawnych rangi ustawowej np. kodeks pracy, ustawa o świadczeniu usług drogą elektroniczną, etc. Ostatecznie dodajemy do listy kontrolnej wymogi narzucone przez podmiot nadrzędny (jeżeli jest) np. centrala grupy kapitałowej, jednostka nadzorująca w sektorze publicznym.
Korzystając z list kontrolnych uzupełniamy je wybraną metodyką, np. wywiad osobowy, czyli zadajemy pytania osobom odpowiedzialnym za proces. Inną metodą jest analiza dokumentów jako dowód spełnienia poszczególnych wymogów z list kontrolnych. Po uzupełnieniu list kontrolnych o stan faktyczny możemy przejść do kolejnego etapu.

3. Rekomendacje po audytowe.

Każdy z punktów w liście kontrolnej musimy sklasyfikować np. w skali trzystopniowej, czyli zgodność, niezgodność i brak danych lub nie dotyczy. Po odsianiu wszystkich zgodności pozostaną nam tylko niezgodności do których musimy przygotować rekomendacje, czyli opisać co trzeba zrobić żeby w konkretnym punkcie organizacja była zgodna z RODO. Przykładowo jeżeli stwierdzimy że organizacja nie ma procedury analizy ryzyka to rekomendacją będzie jej opracowanie. Jeżeli w procesie pobierania danych osobowych nie jest spełniony obowiązek informacyjny to rekomendacją będzie spełnienie obowiązku informacyjnego wobec osób których dane dotyczą. Produktem tego etapu jest lista zadań do wykonania, które należy przypisać konkretnym osobom do wykonania.

4. Ocena skutków przetwarzania (DPIA).

Kolejnym działaniem jest przeprowadzenie oceny skutków przetwarzania danych osobowych. Jest to całkowita nowość dla każdej organizacji w Polsce i w całej europie. Poza sektorem finansowym w niektórych krajach praktycznie żadna organizacja tego nie robiła do tej pory. Nie każdy proces jest objęty tym wymogiem. By stwierdzić czy w konkretnym procesie musimy przeprowadzić DPIA musimy odpowiedzieć na 5 pytań wobec każdego procesu.

  • Czy dochodzi do systematycznej, kompleksowej oceny czynników osobowych, opartej na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i będącej podstawą decyzji wywołujących skutki prawne lub w inny sposób znacząco wpływających na osobę fizyczną? (art. 35 ust. 3 lit. a RODO)
  • Czy dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa? (art. 35 ust. 3 lit. b RODO)
  • Czy dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie? (art. 35 ust. 3 lit. c RODO)
  • Czy organ nadzorczy uznał dany rodzaj operacji przetwarzania za podlegający wymogowi DPIA lub istnieją inne powody, dla których przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? (art. 35 ust. 1 i 4 RODO)
  • Czy przetwarzanie łącznie: a) dotyczy danych zwykłych i jest niezbędne do wypełnienia obowiązku prawnego lub zadania realizowanego w interesie publicznym lub w ramach władzy publicznej? b) jest regulowane przepisami szczególnymi? (art. 35 ust. 10 RODO)

Po odsianiu tych procesów wobec których nie musimy robić oceny skutków przetwarzania pozostanie nam kilka procesów. Wobec nich musimy przeprowadzić pełne DPIA. Podobnie jak to miało miejsce przy liście kontrolnej potrzebujemy narzędzia do DPIA. Narzędzie to musi uwzględniać 4 obszary.

  • Systematyczny opis operacji przetwarzania (art. 35 ust. 7 lit. a)
  • Niezbędność oraz proporcjonalność (art. 35 ust. 7 lit. b)
  • Zarządzanie ryzykiem naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c)
  • Zaangażowanie zainteresowanych strony (Art. 35 ust. 2 i 9)

Po przeprowadzeniu oceny skutków przetwarzania otrzymamy wynik w postaci wysokiego ryzyka w procesie lub po prostu ryzyka. W razie wystąpienia ryzyka jedynie monitorujemy proces i po upływie np. roku (jeżeli wcześniej proces się nie zmienił) ponownie przeprowadzamy DPIA. Natomiast wobec procesów wysokiego ryzyka musimy podjąć działania mające na celu jego obniżenie do poziomu tzw. zwykłego ryzyka. Produktem DPIA jest lista procesów wraz z oceną ryzyka i ewentualnie rekomendacją obniżającą ryzyko.

5. Inwentaryzacja zasobów.

Kolejnym krokiem jest zidentyfikowanie wszystkich zasobów biorących udział w procesach. Poziom dokładności powinien być wysoki jednak nie powinniśmy przesadzać. Przykładowo wiemy że w procesie księgowym udział biorą następujące zasoby: budynek, pokój księgowości, pracownicy księgowości, komputery, drukarki, oprogramowania księgowe i zewnętrzny podmiot – biegły rewident. Po przypisaniu wszystkich zasobów do procesów powinniśmy otrzymać listę zawierającą nazwę procesu, właściciela procesu i zasoby. Warto zaznaczyć że część zasobów będzie się powielała w kilku procesach. Posiadając ww. listę możemy przejść do następnego etapu.

6. Analiza ryzyka wobec zasobów.

Korzystając z listy zasobów przeprowadzamy analizę ryzyka dla każdego z zasobów. Analiza ryzyka powinna uwzględniać co najmniej zagrożenia, prawdopodobieństwo ich wystąpienia, skutek ich wystąpienia oraz wynik DPIA. Zgodnie z poniższym przykładowym wzorem na ryzyko. Po przeprowadzeniu analizy ryzyka powinniśmy otrzymać listę zasobów wraz z określonym poziomem ryzyka np. w skali 5 stopniowej: bardzo wysokie ryzyko, wysokie ryzyko, średnie ryzyko, małe ryzyko i bardzo małe ryzyko. Kolejno określamy punkt odcięcia, czyli obszar od jakiego będziemy zarządzali ryzykiem. Przykładowo określamy że zajmujemy się tylko ryzykami bardzo wysokim, wysokim i średnim, a pozostałe jedynie monitorujemy. Produktem analizy ryzyka jest Plan postępowania z ryzykiem.

 

7. Plan postępowania z ryzykiem.

Korzystając z listy zasobów wraz z wynikiem analizy ryzyka wybieramy najbardziej optymalne metody postępowania z ryzykiem, czyli np. redukcja ryzyka poprzez zastosowanie silniejszych zabezpieczeń, transfer ryzyka poprzez przeniesienie ryzyka na inny podmiot, unikanie ryzyka, czyli taka modyfikacja procesu by ryzyko nie występowało. Na podstawie wybranej metody postępowania z ryzykiem tworzymy rekomendacje, czyli co konkretnie należy zrobić i kto ma to zrobić. Niektóre czynności mogą wymagać czasu, więc warto również w planie postępowania z ryzykiem uwzględnić do kiedy działanie ma być wykonane. Na koniec tego etapu powinniśmy stworzyć harmonogram działań dostosowujących. Po prostu na jednej liście umieszczany rekomendacje z audytu, DPIA i analizy ryzyka oraz określamy kto i kiedy ma wykonać poszczególne zadania.

8. Przygotowanie dokumentacji

W kolejnym kroku przygotowujemy dokumentację zgodności z RODO. Zaczynamy od głównego dokumentu jakim jest Polityka bezpieczeństwa. W dokumencie tym opisujemy wszelkie zabezpieczenia techniczne jakie są zastosowane oraz procedury postępowania, czyli zabezpieczenia organizacyjne. Elementami poszczególnych procedur będą narzędzia wypracowane w trakcie przeprowadzania poprzedni etapów. Przykładowo procedura przeprowadzania oceny skutków przetwarzania, procedura analizy ryzyka czy procedura okresowej weryfikacji systemu ochrony danych.

9. Przygotowanie rejestru czynności przetwarzania.

Po przygotowaniu dokumentacji opisującej zabezpieczenia i procedury zgodności z RODO przechodzimy do uzupełnienia rejestru czynności przetwarzania. Jest to dokument nad którym niestety może się zejść trochę czasu. Najtrudniej jest uzupełnić obszar dotyczący kategorii danych osobowych przetwarzanych w poszczególnych procesach. Przykładowo powinniśmy zweryfikować jakie pola informacyjne są przetwarzane w poszczególnych procesach i wpisać je do rejestru. Dużo trudności sprawia również przypisanie wszystkich podstaw prawnych przetwarzania do poszczególnych procesów. Produktem jest oczywiście gotowy rejestr, o który może się zwrócić kontroler urzędu ochrony danych osobowych w trakcie kontroli.

Fragment rejestru czynności przetwarzania opublikowanego przez UODO.

10. Przygotowanie treści obowiązku informacyjnego.

Następnie korzystając z listy procesów w których pobiera się dane osobowe przygotowujemy treści informacji dla osób których dane dotyczą. Kolejno wybieramy metodę dostarczenia informacji do osoby. Przykładowo może to być strona internetowa, gablota w siedzibie naszej organizacji lub dokument podpisywany przez osobę. Produktem tego działania są treści obowiązku informacyjnego dla każdego z procesów w których pobiera się dane osobowe bezpośrednio od osoby jak i z innych źródeł. Tu należy zaznaczyć że wobec osób, których dane zostały już zarchiwizowane (jedyny cel przetwarzania to przechowywanie ze względu na przepisy prawa), nie trzeba spełniać obowiązku informacyjnego.

Obowiązek informacyjny spełniony przez Prezesa UODO.

11. Przygotowanie klauzul zgody.

Jeżeli w trakcie powyższych działań okazało się że zgoda jest jedną z podstaw prawnych przetwarzania to powinniśmy ją opracować. Należy pamiętać by unikać zgody jako podstawy prawnej, gdyż jest ona bardzo wątłą podstawą prawną. Przykładowo może być w każdej chwili odwołana. Warto również pamiętać by zgoda zawierała co najmniej 3 elementy zakres danych, cel przetwarzania oraz podmiot uprawniony do przetwarzania. Produktem tego etapu są różne klauzule zgody na potrzeby różnych procesów pobierania danych.

12. Zawarcie umów powierzenia przetwarzania danych.

Korzystając z listy podmiotów zewnętrznych biorących udział w procesach przygotowujemy umowy powierzenia przetwarzania danych osobowych. Następnie próbujemy z każdym z tych podmiotów zawrzeć umowę. Dodatkowo przygotowujemy szablon umowy powierzenia przetwarzania danych na potrzeby przyszłych podmiotów. Niezależnie od tego czy już korzystamy czy dopiero mamy zamiar skorzystać z usług podmiotu zewnętrznego powinniśmy go sprawdzić. Sprawdzenia podmiotu zewnętrznego dokonujemy na podstawie listy kontrolnej przygotowanej na potrzeby audytu. Jeżeli okaże się że podmiot zewnętrzny nie jest zgodny z RODO to należy pomóc mu się dostosować lub zmienić ten podmiot na inny. Produktem tego etapu są umowy powierzenia że wszystkimi podmiotami oraz listy kontrolne potwierdzające ich zgodność z RODO.

Przykładowy fragment umowy powierzenia przetwarzania danych osobowych.

13. Dostosowanie zabezpieczeń.

Kolejnym etapem jest dostosowanie zabezpieczeń. Jest to etap najtrudniejszy, gdyż z reguły pociąga za sobą koszty. Przykładowo zgodnie z planem postępowania z ryzykiem należy wymienić wszystkie systemy operacyjne w komputerach na Windows 10. Co oznacza że trzeba zakupić licencje dla wszystkich komputerów. Innym przykładem konieczności dostosowania może być konieczność wymiany drzwi do pomieszczenia serwerowni na przeciw pożarowe. Innymi słowy produktem tego etapu jest dopasowanie wszelkich zabezpieczeń do treści dokumentacji i rekomendacji z poprzednich etapów zgodnie z harmonogramem.

14. Szkolenie personelu.

Jedynym z ostatnich kroków jest zapoznanie personelu z nowymi procedurami i obowiązkami. Może być ono przeprowadzone w formie szkolenia, e-learningu lub jakiejkolwiek innej metody. Istotne jest by poziom świadomości pracowników wzrósł. Po prostu każdy powinien wiedzieć jakie ma obowiązki zgodnie z RODO i wewnętrzną dokumentacją. Ważnym elementem kończącym szkolenie jest nadanie upoważnień do przetwarzania danych osobowych całemu personelowi, który będzie dane przetwarzał. Warto również pamiętać o konieczności odebrania od wszystkich osób mających samodzielny dostęp do danych osobowych oświadczeń o zachowaniu poufności. Na tym etapie kończy się faza implementacji RODO, jednak nie oznacza to jeszcze że RODO jest wdrożone.

15. Weryfikacja i testowanie.

Najważniejszym elementem stworzonego systemu ochrony danych osobowych jest jego działanie. Innymi słowy bez testowania działania procedur nie dowiemy się czy działają. Testy warto zaplanować wobec wszystkich procedur. Jednak najważniejsze testy powinny dotyczyć realizacji praw osób których dane dotyczą, zarządzania naruszeniami oraz stosowania domyślnej ochrony danych osobowych. Działanie polega na uruchomieniu procedury oraz ocenie czy działa ona sprawnie. Każdy test powinien zakończyć się raportem określającym ewentualne rekomendacje.

Doskonalenie systemu ochrony danych

Ostatnim etapem wdrażania RODO i równocześnie pierwszym etapem doskonalenia systemu ochrony danych osobowych jest wdrożenie rekomendacji z testowania. Innymi słowy system ochrony danych będzie o tyle skuteczny o ile będzie ciągle testowany i poprawiany. Rekomendacje mogą dotyczyć treści dokumentacji zgodności z RODO, jak również zabezpieczeń czy poziomu świadomości pracowników.

Podsumowując skuteczne wdrożenie RODO może odbyć się w 15 krokach. Jednak utrzymanie systemu ochrony danych osobowych jest działaniem ciągłym. Pozostawienie systemu bez nadzoru spowoduje wraz z upływem czasu jego nieskuteczność, a ostatecznie powrócimy do niezgodności z RODO.

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu