Wielokrotnie osoby z dużą wiedzą i praktyką zawodową nie posiadają wystarczającego doświadczenia projektowo-wdrożeniowego. Dotyczy to wielu obszarów gospodarki i administracji, w tym także obszaru związanego z zarządzaniem RODO. Dlatego w tym artykule chcielibyśmy skupić się na tym, jak sprawnie przeprowadzić wdrożenie RODO, zabezpieczyć obszar zarządzania danymi osobowymi, jednocześnie czuć się z tym komfortowo.
Rejestr czynności, od tego zaczynamy wdrożenie RODO
Ogólne rozporządzenie o ochronie danych wymaga (art. 30 RODO) prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr czynności przetwarzania danych osobowych musi zawierać istotne informacje o przetwarzaniu danych, w tym kategorie danych, kategorie podmiotów danych, cel przetwarzania i odbiorców danych. Pierwszym krokiem wdrożenia RODO będzie zatem utworzenie rejestru przetwarzania danych osobowych. W systemie iGDPR można to uczynić klikając kolejno Ryzyko, a potem Czynności przetwarzania i natychmiast przejść do tworzenia czynności.
Ocena ryzyka
Drugim krokiem wdrożenia RODO jest wypełnienie obowiązku przeprowadzenia przez administratora oceny skutków i jej udokumentowania przed rozpoczęciem zamierzonego przetwarzania danych. Służą do tego instrumenty oceny wpływu na prywatność (ang. PIA, Privacy Impact Assessment) i oceny skutków dla ochrony danych (ang. DPIA, Data Protection Impact Assessment). Należy zatem dokonać ocenę wpływu na prywatność, a jeżeli ten test wykaże taką konieczność także ocenę skutków dla ochrony danych. W systemie iGDPR można to uczynić klikając kolejno Ryzyko, a potem PIA lub DPIA. Warto podkreślić, że system iGDPR umożliwia tworzenie własnych pytań, ich zestawów oraz nadawanie im odpowiednich wag.
Ocena prawnie uzasadnionego interesu administratora
Zgodnie z art. 6 ust. 1 lit. f RODO, podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes. Jest to elastyczna podstawa prawna do gromadzenia danych osobowych, dlatego wymaga przeprowadzenia oceny prawnie uzasadnionego interesu (ang. LIA, legitimate interests assessment). Zgodnie z obowiązkiem rozliczalności, który określono w art. 5 ust. 2 i art. 24 RODO, ocenę prawnie uzasadnionego interesu (LIA) należy udokumentować. Powinien być to następny krok we wdrożeniu RODO. Dodatkowo wskazane jest, by oceny takiej dokonała osoba posiadająca właściwą wiedzę prawniczą. Podobnie jak w przypadku PIA oraz DPIA, system iGDPR umożliwia tworzenie własnych pytań, ich zestawów oraz nadawanie im odpowiednich wag.
Określenie okresów retencji danych, ważny punkt każdego wdrożenia RODO
Polityka retencji danych osobowych określa zasady dotyczące przechowywania danych w organizacji. Ważne, aby dane przechowywać tylko tak długo, jak jest to konieczne. Zasady dotyczące retencji danych wynikają z art. 5, art. 13, art. 17 i art. 30 RODO. Harmonogram przechowywania danych określa, jak długo konkretne dane osobowe mogą być przechowywane. Zawiera również wytyczne wskazujące jakie dane mają być usuwane, kiedy oraz w jaki sposób. Kolejnym działaniem powinno być zatem utworzenie harmonogramu przechowywania danych oraz przypisania zadań retencyjnych do właścicieli. System iGDPR umożliwia tę funkcjonalność w module Retencja i zakładce Okresy retencji.
Upoważnienia do przetwarzania danych osobowych
Dane osobowe można przetwarzać wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora lub podmiotu przetwarzającego (art. 29 i art. 32 RODO). Jako następne działanie w implementacji RODO należy zatem udzielić właściwych upoważnień do przetwarzania danych osobowych odpowiednim osobom. Dlatego system iGDPR umożliwia takie działanie w module Operacje i funkcjonalności Upoważnienia.
Na tych czynnościach kończy się faza wdrożenia RODO, a pozostałe aspekty związane związane z powdrożeniową obsługą operacyjną opisane zostały w osobnym artykule.
By dowiedzieć się więcej na temat wdrażania RODO zapraszamy do rejestracji i udziału w bezpłatnych webinarach, na których omawiane są różne funkcjonalności systemu iGDPR.