Aktualności

Czy RODO dotyczy również mnie? Czy muszę mieć odpowiednią dokumentację firmy zgodną z nowymi przepisami? Czy dam radę ją stworzyć samodzielnie? Jakie informacje powinna zawierać? W jakiej formie i jak technicznie to wykonać? Na co zwrócić szczególną uwagę?

Jeśli zarządzając lub stojąc na czele organizacji te pytania dźwięczą w twojej głowie – już jesteś na najlepszej drodze do spełnienia wymagań, które po 25 maja 2018 r. stawia przed nami ogólne rozporządzenie o ochronie danych (RODO).

Parafrazując słowa Sokratesa „to niewiedza jest źródłem zła”, a przysłowiowe „wiem, że nic nie wiem” w przypadku dostosowania się do filozofii RODO samo w sobie jest już cenną informacją.

Wywiązanie się z obowiązku prowadzenia dokumentacji ochrony danych osobowych to dla wielu podmiotów, a szczególnie dla małych firm, które nie wspierają się widzą ekspertów, niewątpliwie wielkie wyzwanie. Aby jednak nie popaść w niepotrzebną panikę, zachowaj stoicki spokój i zobacz jak krok po kroku stworzyć odpowiednią dokumentację ochrony danych osobowych, która będzie wizualizować aktualny stan informacji na temat przetwarzanych w twojej organizacji danych.

1. Jak „wyszukać” zbiory danych w naszej organizacji

Stworzenie dokumentacji dostosowanej do aktualnych przepisów zacząć można od podjęcia próby zmapowania procesów zachodzących w naszej organizacji. Mapowanie procesów zaś możliwe będzie po wyodrębnieniu zbiorów danych. Jak tego dokonać? Zacznij od analizy schematu organizacyjnego twojej organizacji. Takie działanie pozwoli ci na podzielenie jej komórek organizacyjnych na miejsca, w których funkcjonują odpowiednie procesy przetwarzania danych. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. zawierała obowiązek prowadzenia i zgłaszania zbiorów danych osobowych do organu nadzorczego. Dziś ogólne rozporządzenie o ochronie danych ten wymóg liberalizuje, jednak z praktycznego punktu widzenia - określenie zbiorów danych zdecydowanie pomoże usystematyzować i uporządkować przepływ danych osobowych w poszczególnych „działach” organizacji.

Poniżej przykłady wyodrębnienia zbiorów danych:

- pracownicy i współpracownicy
- potencjalni pracownicy i współpracownicy
- kontrahenci
- klienci
- rejestr korespondencji
- marketing
- monitoring
- reklamacje
- postępowania sądowe
 

2. Naniesienie procesów przetwarzania danych na zbiory

Po odpowiednim wyodrębnieniu zbiorów danych pora przyporządkować do nich wszelkie procesy funkcjonujące w organizacji. Pamiętajmy przy tym, iż ciągle zmieniająca się rzeczywistość, w której osadzona jest działalność przedsiębiorcy powoduje konieczność stałej aktualizacji prowadzonej dokumentacji. Sam zabieg wyodrębnienia zbiorów danych i naniesienie na nich procesów nie jest jednorazowy, a powinien czynnie i aktywnie wspierać prowadzącego organizację, zapewniając mu tym samym kontrolę nad przetwarzanymi w niej danymi osobowymi.
 

• W jaki sposób nanieść procesy na zbiory danych?

Przygotowanie właściwej dokumentacji ochrony danych osobowych w zakresie zarówno wyodrębniania zbiorów danych jak i naniesienia na nie procesów, od strony technicznej jest kwestią bardzo indywidualną, bo nie regulują tego żadne przepisy nowo obowiązującego prawa.

RODO w motywie 78 preambuły oraz art. 24 wskazuje jedynie na obowiązek administratora danych w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu ochronę danych osób fizycznych. Ochrona ta ma się odbywać z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także prawdopodobieństwa i wagi zagrożenia ryzykiem naruszenia ich praw lub wolności.
 

• Jak określić przypisane zbiorom danych procesy?

Oto przykładowe propozycje naniesienia procesów na zbiory danych, odpowiednie dla dokumentacji ochrony danych osobowych średniej wielkości organizacji:

zbiór danych: pracownicy i współpracownicy
procesy:
- realizacja praw i obowiązków pracowniczych w ramach zatrudnienia
- Zakładowy Fundusz Świadczeń Socjalnych
- BHP
- korzystanie przez pracowników z dodatkowych benefitów (kart sportowych, ubezpieczenia, opieki medycznej)
- konkursy pracownicze
- wykorzystywanie wizerunku pracowników
- szkolenia pracowników
- flota samochodów

zbiór danych: potencjalni pracownicy i współpracownicy
procesy:
- prowadzenie bieżących rekrutacji
- przyszłe rekrutacje

zbiór danych: kontrahenci
procesy:
- nawiązywanie współpracy
- realizacja zawartych umów
- udzielanie pełnomocnictw

zbiór danych: klienci
procesy:
- nawiązywanie współpracy
- realizacja zawartych umów
- informowanie klientów na temat nowych produktów
- dochodzenie roszczeń

zbiór danych: rejestr korespondencji
procesy:
- ewidencja korespondencji
- odbiór i wysyłanie korespondencji

zbiór danych: marketing
procesy:
- świadczenie usługi Newsletter
- odpowiedzi na pytania poprzez formularze kontaktowe

zbiór danych: monitoring
procesy:
- monitorowanie osób przebywających na terenie organizacji

zbiór danych: reklamacje
procesy:
- rozpatrywanie reklamacji klientów

zbiór danych: postępowania sądowe
procesy:
- dochodzenie roszczeń, podejmowanie działań o charakterze windykacyjnym
 

3. Stworzenie rejestru czynności przetwarzania (RCP)

Już wiesz jak wygląda czynność mapowania procesów w organizacji. Jednak to dopiero początek góry RODOwej…Zmapowane procesy pomogą teraz w przygotowaniu „inwentaryzacji” przepływu danych osobowych i stworzeniu rejestru czynności przetwarzania (RCP), który zawiera kompleksowy obraz przetwarzanych danych.

Więcej przydatnych informacji na temat samego rejestru czynności przetwarzania znajdziesz w kolejnym artykule.