Wdrożenie RODO

Wdrożenie wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane: ogólnym rozporządzeniem o ochronie danych, także RODO) ma ogromne znaczenie dla wszystkich organizacji operujących w Unii Europejskiej, a także dla tych organizacji, które, nie posiadają siedziby na terenie Unii Europejskiej, ale przetwarzają dane osób pochodzących z Unii Europejskiej. Niedopełnienie obowiązków wynikających z RODO może prowadzić do zmaterializowania się ryzyka prawnego, w tym także do znacznych kar finansowych nałożonych przez organy nadzorcze w zakresie ochrony danych osobowych państw członkowskich Unii Europejskiej na organizację. Dlatego też, organizacje te muszą dostosować swoje procedury i praktyki do wymagań tego rozporządzenia.

Co to jest RODO?

RODO to skrót od dokumentu normującego kwestie związane z ochroną prywatności osób fizycznych, tzn. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane także: ogólnym rozporządzeniem o ochronie danych).

Głównymi celami RODO są przede wszystkim: podniesienie standardów ochrony danych osobowych oraz ujednolicenie przepisów dotyczących tej ochrony w całej Unii Europejskiej. RODO ma zastosowanie do wszystkich podmiotów przetwarzających dane osobowe obywateli Unii Europejskiej, niezależnie od tego, czy są to podmioty państwowe, prywatne,  czy, np. organizacje non-profit.

Kluczowe zasady i wymagania zawarte w RODO obejmują:

1. Zasadę legalności, sprawiedliwości i przejrzystości, określającą wymóg zgodnego z prawem i transparentnego sposobu przetwarzania danych osobowych. 
2. Ograniczenie celu przetwarzania danych osobowych do realizowanych działań, na potrzeby których pozyskano dane osobowe. 
3. Minimalizację danych, ograniczającą minimalny zakres przetwarzanych danych w konkretnych, zaplanowanych operacjach biznesowych.
4. Poprawność i aktualność danych.
5. Ograniczenie przechowywania danych przez okres niezbędny do osiągnięcia celu przetwarzania (celu biznesowego).
6. Bezpieczeństwo przetwarzanych  danych osobowych zapewnione wdrożonymi (adekwatnymi do zidentyfikowanego ryzyka) środkami organizacyjnymi i technicznymi,  chroniącymi dane osobowe przed utratą, nielegalnym dostępem, czy też zniszczeniem.
7. Procedury realizacji praw podmiotów danych, tzn. osób fizycznych, których przetwarzane dane osobowe dotyczą, na podstawie delegacji określonych w RODO. 
8. Proces zarządzania ryzykiem dla praw i wolności osób, których dane osobowe przetwarzane są w organizacji w ramach realizowanych procesów biznesowych, a także wdrażanie środków mających na celu minimalizację zidentyfikowanego ryzyka.

Czy każda organizacja musi wdrożyć RODO?

Zgodnie z wymaganiami określonymi w RODO, każda organizacja, która przetwarza dane osobowe osób fizycznych w/z Unii Europejskiej , musi wdrożyć skuteczne i adekwatne do zidentyfikowanego ryzyka polityki, procedury i zabezpieczenia chroniące dane osobowe osób fizycznych. 

Podstawowe zasady RODO są powszechnie stosowane i mają na celu zwiększenie ochrony prywatności osób fizycznych oraz jednolicie uregulowanie kwestii ochrony danych osobowych na terenie całej Unii Europejskiej. Wdrożenie RODO ma zatem na celu zapewnienie, że organizacje traktują dane osobowe z należytym szacunkiem i zgodnie z przepisami prawnymi w tym zakresie.

Powyższe oznacza, że każda organizacja musi:

1. Zidentyfikować dane osobowe, zakres tych danych oraz sposób ich przetwarzania. 
2. Cele przetwarzania danych osobowych w konkretnych procesach biznesowych.
3. Zapewnić osobom, których dane przetwarzania dostęp do szczegółowych informacji określających sposób przetwarzania dotyczących ich danych osobowych.
4. Zapewnić bezpieczeństwo danych osobowych przed ich utratą, kradzieżą, czy też nieuprawnionym dostępem osób nieuprawnionych.
5. Zarządzać zgodnością przetwarzanych danych osobowych z aktualnie obowiązującymi przepisami prawa w tym zakresie, a tym  dostosować swoje procedury i praktyki do wymagań RODO oraz utrzymywać je w ciągłej aktualności.
6. Posiadać niezbędną dokumentację opisująca wdrożony proces ochrony danych osobowych.

Wdrożenie w organizacji  RODO ma na celu przede wszystkim ochronę prywatności osób fizycznych, ale także wspomaga i budowanie zaufania do organizacji w kontekście biznesowym. Dlatego też każda organizacja, niezależnie od wielkości czy branży, musi wdrożyć wymagania określone w  RODO i dostosować swoje codzienne praktyki do norm prawnych opisujących proces ochrony danych osobowych.

Na czym polega wdrożenie RODO w organizacji?

Wdrożenie RODO w organizacji  polega na przeprowadzeniu zaplanowanych działań obejmujących: 

1. Analizę i klasyfikację przetwarzanych w organizacji danych oraz określenie ich kategorii, zakresu,  źródła pozyskania i przepływu w realizowanych procesach biznesowych oraz wspierających te procesy narzędziach informatycznych. 
2. Opracowanie i wdrożenie polityki prywatności określającej  zakres danych są pozyskiwanych w procesach biznesowych,, podstaw prawnych i celów przetwarzania danych osobowych, a także sposobu dystrybucji informacji o prawach osób, których przetwarzane dane dotyczą.  
3. Opracowanie i wdrożenie narzędzi ewidencyjnych procesu ochrony danych osobowych, w tym wymaganych Rejestrów opisujących czynności  przetwarzania danych osobowych.
4. Opracowanie i wdrożenie zasad opisujących środki bezpieczeństwa danych osobowych, obejmujących zarówno techniczne, jak i organizacyjne sposoby ochrony danych  przed nieautoryzowanym dostępem, utratą, zniszczeniem, czy też ujawnieniem osobom nieupoważnionym.
5. Opracowanie i wdrożenie rozwiązań zapewniających możliwość realizacji praw osób, których dane dotyczą, w szczególności, takich jak prawo dostępu do danych, sprostowania lub usunięcia danych, prawo do przenoszenia danych, czy też prawo do cofnięcia wyrażonej zgody uprawniającej organizację do przetwarzania danych osoby fizycznej.
6. Opracowanie i wdrożenie procesu cyklicznego szkolenia personelu w zakresie ochrony danych osobowych.
7. Opracowanie i wdrożenie procesu zarządzania naruszeniami (incydentami) ochrony danych osobowych zapewniającego podejmowanie niezakłóconych i skutecznych działań w przypadku wystąpienia potencjalnych naruszeń bezpieczeństwa danych osobowych.
8. Prowadzenie zaplanowanych, regularnych przeglądów (audytów wewnętrznych) w celu oceny zgodności wdrożonych rozwiązań z wymaganiami aktualnie obowiązującego prawa w zakresie ochrony danych osobowych,  a także w celu  identyfikacji  potencjalnego ryzyka mogącego mieć wpływ na bezpieczeństwo przetwarzanych danych osobowych. 
9. Umożliwienie personelowi prowadzenia konsultacji z ekspertami ds. ochrony danych osobowych  w przypadku pojawienia się  wątpliwości lub trudności w interpretacji wymagań RODO w kontekście realizowanych procesów biznesowych.

Wdrożenie RODO to kompleksowy proces mający na celu zapewnienie zgodności organizacji z przepisami o ochronie danych osobowych oraz ochronę prywatności osób, których dane dotyczą. To proces wymagający współpracy różnych obszarów  organizacji, takich jak dział prawny, compliance,  IT, właściciele procesów biznesowych oraz właścicieli i administratorów przetwarzanych w organizacji  danych.

Czy RODO wspiera procesy biznesowe w organizacji?

Wbrew obiegowej opinii RODO nie stanowi czynnika ograniczającego prowadzenie działań operacyjnych, a - co może być zaskakujące dla wielu organizacji - wpływa pozytywnie na realizowane procesy biznesowe. Badania pokazują, że organizacje, które wdrożyły RODO osiągają wyższe wyniki, a te z kolei mają znaczny wpływ na ich długoterminowy rozwój, gdyż: 

1. Zwiększają zaufanie i lojalność Klientów do organizacji  jako partnera odpowiedzialnego i dbającego o ochronę ich prywatności. 
2. Wpływają na poprawę bezpieczeństwa przetwarzanych danych osobowych, ale także danych biznesowych.
3. Pozwalają na l zarządzanie danymi, w tym jednoznaczne określenie ich ważności dla organizacji. 
4. Umożliwiają optymalny targeting marketingowy za sprawą wdrożonego systemu zarządzania zgodami Klientów, a to z kolei pozytywnie wpływa na precyzyjne określenie  preferencji Klientów oraz plan kampanii marketingowych.
5. Wymuszają optymalizację procesów biznesowych, co może prowadzić do ich większej efektywności, w tym także do przemyślanego podejścia do zarządzania danymi, w tym także danymi osobowymi.
6. Wprowadzają  zunifikowane standardy obowiązujące w całej  Unii Europejskiej.
7. Pozwalają na spokojne prowadzenie działalności biznesowej, bez obawy nałożenia sankcji (kary finansowej) ze strony, np. Prezesa Urzędu Ochrony Danych Osobowych.
8. Pozwalają  zyskać przewagę konkurencyjną, zwłaszcza w branżach, gdzie klienci przykładają wagę do ochrony swoich danych osobowych.