Od czego zacząć…?

Najczęściej stawiane pytanie na forach internetowych przez osoby, które po trzech latach od wejścia w życie Rozporządzenia o ochronie danych osobowych zaczynają wdrażanie zasad bezpiecznego przetwarzania danych do swoich organizacji.

Na tak postawione pytanie nie ma jednej uniwersalnej odpowiedzi. Dużo zależy od wiedzy, jaką dysponuje osoba odpowiedzialna za wdrażanie. Wydaje się, że dobrym, pierwszym krokiem zmierzającym do implementacji RODO, jest stworzenie obowiązku informacyjnego (klauzuli informacyjnej). Jeden z obowiązków, jaki nakłada na nas RODO. Generalnie w miarę łatwy do opracowania i wdrożenia. W chwili obecnej jest to wizytówka firmy mówiąca o podejściu do spraw formalnych, poszanowaniu przepisów prawa, a także informacja mówiąca o obowiązujących w firmie standardach. Klauzula dostarcza również informacji o wiedzy i doświadczeniu osoby, która go tworzyła. Z całą pewnością należy pamiętać, że jednym obowiązkiem informacyjnym nie spełnimy wszystkich wymaganych kwestii (wszystkich procesów przetwarzania).
Przystępując do tworzenia obowiązku, należy zapoznać się z treścią kilku artykułów Rozporządzenia. Na początek artykuły 12, 13 i 14. W dalszej kolejności artykuł 6, a w niektórych przypadkach także artykuł 9. Osobie tworzącej klauzulę informacyjną przyda się również znajomość artykułów od 15 do 22.
Przystępując do opracowania klauzuli, autor musi być świadomy tego, kim jest odbiorca dokumentu. Ma to duże znaczenie w kontekście artykułu 12 RODO, który mówi o zrozumiałej i zwięzłej komunikacji. Inaczej należy porozumiewać się w tym zakresie z osobą starszą (trzeba mieć na uwadze chociażby wielkość czcionki, czego nie widać w naszych przychodniach) inaczej będziemy komunikowali się z młodzieżą, a jeszcze inaczej z osobami posługującymi się określonym językiem branżowym.

Rafał Górny - ekspert w dziedzinie ochrony danych osobowych i bezpieczeństwa informacji

Sam dokument ma pewne stałe elementy, dlatego opracowanie pierwszej wersji znacznie ułatwia prace nad kolejnymi. Zadaniem klauzuli jest poinformowanie właściciela danych (podmiot danych) o tym, kto przetwarza jego dane osobowe, w jakim celu i w oparciu o jakie podstawy prawne. I tak przystępując do opracowania klauzuli, podajemy dane administratora danych wraz z danymi kontaktowymi. Informuje o wyznaczeniu inspektora ochrony danych.
Następny element mający wpływ na obowiązek informacyjny to CEL PRZETWARZANIA danych. Ten determinuje podstawę prawną, którą wskazuje administrator. W obowiązku informuje on również o okresie przetwarzania danych oraz odbiorcach danych. Dokument kończy spis praw przysługujących podmiotowi danych.

Z całą pewnością obowiązek informacyjny jest dokumentem, w którym możemy popełnić wiele błędów, dlatego zanim usiądziemy do jego opracowania warto skonsultować się z kimś, kto ma jakieś doświadczenie w tym zakresie. Odradzam kopiowanie klauzul od innych firm działających w podobnych branżach. Jeśli pracownicy organizacji nie wypracują swojego dokumentu, jeśli nie nauczą się realizować obowiązku w sposób prawidłowy, to ten element systemu bezpiecznego przetwarzania nigdy nie będzie funkcjonował właściwie.

No właśnie – realizacja obowiązku. Samo posiadanie jakiejś zapisanej kartki to nie wszystko. Jak wynika z raportu działalności UODO za rok 2019. Do organu nadzorczego wpływały skargi na administratorów, którzy nie posiadali klauzul informacyjnych oraz na tych, którzy nie wywiązywali się z obowiązku informacyjnego lub robili to w niewłaściwy sposób. Zapewne w roku 2020 takich skarg było więcej, ale nie dysponujemy jeszcze raportem z działalności UODO za ubiegły rok, zatem możemy jedynie się domyślać.
W jaki zatem sposób należy wywiązać się z realizacji obowiązku informacyjnego?
Odpowiedź, jaką znajdujemy w Rozporządzeniu jest dla wielu zaskakująca. RODO mówi, że administrator ma wywiązywać się z obowiązku w sposób „skuteczny”.
Nie ma innych wytycznych lub wskazówek. Rolą ADO jest obrać taki sposób, który jego zdaniem będzie najefektywniejszy. Może to być strona internetowa, gablota, w której zawiśnie wydruk lub drzwi wejściowe do budynku.
Z całą pewnością, nie należy odbierać podpisów od osób przekazujących dane pod klauzulami.
Więcej na temat obowiązków informacyjnych, ich rodzajów, sposobów wywiązywania się oraz o błędach, jakie znajdujemy w tych dokumentach, w tym o błędach w dokumentacji, którą ADO zakupił w celu dostosowania jej do swoich potrzeb, znajdziecie Państwo w szkoleniach na stronie kodrodo.pl. Zapraszam także na moje RODO webinary, które wystartują we wrześniu. Więcej informacji na moim profilu Linkedin oraz na grupie na FB „RODO-krok po kroku”.