Ochrona danych osobowych oraz informacji jest jednym z kluczowych obszarów funkcjonowania każdego przedsiębiorstwa bez względu na profil działalności.

Dynamiczny rozwój technologii, szczególnie informatycznych, skutkuje z jednej strony zwiększeniem efektywności gospodarczej, z drugiej powoduje konieczność gromadzenia i przetwarzania dużej ilości danych. Szczególną rolę odgrywają w tym procesie dane osób fizycznych. Ich przetwarzanie jest dziś nieodłącznym elementem niemal każdej działalności, szczególnie gospodarczej. Możliwość np. spersonalizowania oferty handlowej zachęca do gromadzenia coraz większej ilości danych i przetwarzania ich w sposób zautomatyzowany. Skutkuje to jednak wzrostem zagrożenia sfery prywatności osób, których dane są przetwarzane, a także ryzykiem negatywnych konsekwencji wynikających z niezgodnego z prawem przetwarzania tych danych. W odpowiedzi na te zagrożenia tworzone są przepisy, które mają zapewnić ochronę podmiotom danych.

Przeprowadzona kilka lat temu reforma związana z ochroną danych osobowych sprawiła, że obecnie obowiązuje jeden akt prawny, wspólny dla wszystkich państw członkowskich – Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Reguluje ono najważniejsze zagadnienia dotyczące ochrony danych osobowych, natomiast przepisy państw członkowskich mają jedynie charakter uzupełniający.

RODO jest trudnym i dla wielu niezrozumiałym aktem prawnym. Rozporządzenie napisane jest technicznym językiem, posługuje się bardzo ogólnymi zapisami pozostawiającymi duży zakres swobody interpretacyjnej. Bez wsparcia prawnika specjalizującego się w ochronie danych osobowych większość przedsiębiorców w praktyce nie będzie w stanie przebrnąć przez lekturę RODO, nie mówiąc o spełnieniu jego wymagań. Nie zawiera ono bowiem katalogu zabezpieczeń, które należy stosować w związku z przetwarzaniem danych osobowych, nie określa również żadnych minimalnych standardów technicznych mających na celu zabezpieczenie danych, których zastosowanie zwalniałoby administratora z odpowiedzialności. Wprowadza natomiast drakońskie i realne kary finansowe za incydenty związane z naruszeniem ochrony danych osobowych.

Podstawami RODO są podejście oparte na ryzyku oraz neutralność technologiczna. Oznacza to, że przy stosowaniu jego przepisów niezbędne jest uwzględnienie specyfiki działalności administratora, który musi wdrożyć adekwatne do zagrożeń środki techniczne i organizacyjne. RODO wymaga, aby przedsiębiorca gromadzący i przetwarzający dane osobowe samodzielnie zdecydował, jakie zabezpieczenia i procedury przetwarzania danych ma wdrożyć. Innymi słowy, musi on samodzielnie opracować własny system ochrony danych osobowych w oparciu o wcześniej przeprowadzoną analizę ryzyka i ogólne zasady określone w RODO.

Nieprzestrzeganie zasad ochrony danych osobowych lub brak ich wdrożenia może skutkować bardzo wysokimi karami pieniężnymi. Zgodnie z art. 83 ust. 1 RODO kary powinny być „skuteczne, proporcjonalne i odstraszające”.

Naruszenie praw związanych z ochroną danych osobowych umożliwia osobie, której dane dotyczą dochodzenie odszkodowania związanego z naruszeniem ochrony tych danych. Ma ona znacznie ułatwione możliwości w tym zakresie, ponieważ wystarczy, że jedynie uprawdopodobni wystąpienie naruszenia, co można uznać za domniemanie winy podmiotu przetwarzającego dane osobowe. Podmiot przetwarzający dane musi być w stanie rozliczyć się z tego, jak przestrzega oraz realizuje wymagania RODO. Może zostać zwolniony z odpowiedzialności, o ile udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Niezbędne jest zatem nie tylko posiadanie określonych procedur odnoszących się do ochrony danych osobowych, ale również wiedza, jak stosować je w praktyce.

ZAKRES USŁUGI

Do prawidłowego wdrożenia RODO konieczne jest przeprowadzenie audytu wewnętrznego, obejmującego analizę wszystkich procesów, w których przetwarzane są dane osobowe, analizę ryzyka wystąpienia naruszeń ochrony danych osobowych, ze szczególnym uwzględnieniem funkcjonowania systemu informatycznego, następnie opracowywanie na jej podstawie dokumentacji dotyczącej ochrony danych, a także prowadzenie szkoleń kadry zarządzającej i pracowników przedsiębiorcy.

AUDYT ZGODNOŚCI Z RODO

Przeprowadzany przez naszą Kancelarię audyt obejmuje m.in.:

  • funkcjonalny opis procesów, podczas których wykorzystywane są dane osobowe (na czym polegają, czemu służą itp.) we wszystkich obszarach działalności, w tym marketing, HR, obsługa klienta, sprzedaż itp.
  • analizę zakresu i celów, w jakim dane są przetwarzane,
  • określenie rodzajów wykorzystywanych danych (w tym tzw. danych wrażliwych),
  • zbadanie kategorii osób, których te dane dotyczą (klienci, pracownicy, kontrahenci itp.),
  • analizę odbiorców, którym dane są przekazywane (np. biura rachunkowe, usługodawcy „hostingowi”, agencje marketingowe itp.),
  • zbadanie okresów, przez jakie dane są przechowywane,
  • określenie zasobów, na których jest oparte przetwarzanie danych (ludzie, sprzęt, oprogramowanie, papierowa dokumentacja),
  • wyodrębnienie zbiorów danych (baza klientów, archiwum obsługi klienta itp.),
  • zbadanie podstaw prawnych przetwarzania danych,
  • analizę stron internetowych i profili w portalach społecznościowych pod kątem wymagań prawnych związanych z ochroną danych osobowych.

ANALIZA RYZYKA

Analiza ryzyka jest podstawą dla prawidłowego wdrożenia RODO, w tym wyboru organizacyjnych, prawnych i technicznych środków zgodności i bezpieczeństwa przetwarzania. Pierwszym krokiem do przeprowadzenia analizy jest mapowanie procesów biznesowych na czynności przetwarzania, dla których analizę ryzyka się wykonuje.

W ramach analizy ryzyka nasi prawnicy weryfikują źródła zagrożeń i określają środki zaradcze (np. lepsze zabezpieczenia systemów informatycznych, zmiana oprogramowania czy sprzętu na mniej zawodny, regularne szkolenia dla osób pracujących z danymi osobowymi), ale też głębsze zmiany w sposobie zarządzania danymi czy relacjach z kontrahentami.

W przypadkach wymienionych w RODO administrator zobowiązany jest także wykonać analizę szczegółową tj. ocenę skutków dla ochrony danych (DPIA).

DOKUMENTACJA

Po przeprowadzeniu audytu prawnego i analizy ryzyka prawnicy Kancelarii opracowują założenia polityki bezpieczeństwa oraz przygotowują wymaganą prawem dokumentację, obejmującą m.in.:

  • politykę bezpieczeństwa w zakresie ochrony danych osobowych;
  • rejestr czynności przetwarzania;
  • rejestr kategorii czynności przetwarzania (jeśli dotyczy);
  • rejestr zgłoszeń naruszeń ochrony danych osobowych;
  • instrukcję zarządzania systemem informatycznym;
  • umowy powierzenia przetwarzania danych osobowych;
  • upoważnienia do przetwarzania danych;
  • dedykowane treści stosownych zgód, oświadczeń i informacji, w tym opracowanie treści obowiązku informacyjnego dla współpracowników, klientów oraz do zamieszczenia na stronie internetowej i portalach społecznościowych, a także w stopkach e-mail;
  • przeprowadzenie testów równowagi dla czynności realizowanych w oparciu o prawnie uzasadniony interes administratora (wymagane m.in. przy monitoringu wizyjnym, marketingu, plikach cookies);
  • udokumentowanie analizy ryzyka i DPIA;
  • politykę zarządzania naruszeniami;
  • politykę prywatności do umieszczenia na stronie internetowej.

SZKOLENIA

Nasze doświadczenia pokazują, że czynnik ludzki jest najsłabszym ogniwem w zakresie przestrzegania przepisów o ochronie danych osobowych. Z tego względu oferujemy szkolenia dla właścicieli firm oraz kadry zarządzającej i pracowników w zakresie przestrzegania przepisów dotyczących ochrony danych osobowych.

Szkolenia te są ukierunkowane na rozwiązywanie praktycznych problemów związanych z odpowiedzialnością za naruszenie danych, w szczególności z zabezpieczaniem się przed odpowiedzialnością z tego tytułu. Program szkolenia dostosowywany jest zawsze do indywidualnych życzeń Klienta i uwzględnia aspekty prawne wynikające z konkretnych projektów i przedsięwzięć biznesowych.

Szkolenia ze strony Kancelarii zawsze prowadzi osoba z uprawnieniami radcy prawnego w siedzibie Klienta lub online.

Osoby zainteresowane skorzystaniem z naszych usług zapraszamy do kontaktu. Porad prawnych udzielamy w Kancelarii Radców Prawnych w Lublinie lub online.