Już ponad miesiąc temu weszło w życie ogólne rozporządzenie o ochronie danych osobowych, czyli RODO. Niestety, mimo upływu czasu i licznych głosów na ten temat, przedsiębiorcy telekomunikacyjni nadal nie mają pewności, czy RODO u siebie w firmie skutecznie wdrożyli, czy też nie. Wychodząc naprzeciw tym wątpliwościom, poniżej przekazuję kilka wyjaśnień – czym jest wdrożenie RODO.
W przypadku operatorów telekomunikacyjnych implementację RODO można sprowadzić do siedmiu działań, które muszą zostać zrealizowane w każdej firmie, aby można było mówić o kompletnym wdrożeniu. Jeżeli któreś działanie nie zostało zrealizowane, to najprawdopodobniej nie mamy do czynienia z prawidłowym wdrożeniem – co za tym idzie: firma nadal nie spełnia nakładanych na nią przez prawo wymogów.
1. Stworzenie rejestru czynności przetwarzania
Rejestr czynności przetwarzania, to dokument, którego treść, formę i obowiązek sporządzenia RODO wprost określa. Dokument opisuje w sformalizowany sposób, w jaki sposób przetwarzają Państwo dane osobowe. Jest tworzony na potrzeby kontroli przez organ nadzorczy, który będzie wymagał okazania rejestru.
2. Przeprowadzenie analizy ryzyka
Analiza, jakie ryzyko dla osób, których dane osobowe są przetwarzane, wiąże się z działaniami administratora, powinna być wykonana przez każdego takiego administratora. Analiza ma ocenić, czy przetwarzanie przez Państwa danych stwarza ryzyka dla osób fizycznych oraz, czy zastosowane zabezpieczenia danych są wystarczające. Rezultatem analizy powinien być pisemny raport, który wykazuje stopień istniejącego ryzyka. Kwestia ta jest o tyle istotna, że w niektórych wypadkach – jeśli ryzyko jest zbyt wysokie – dla przetwarzania danych należy mieć zgodę Urzędu Ochrony Danych Osobowych. Dobrze zatem dysponować raportem z analizy, który wprost wskazuje, że taka zgoda nie jest potrzebna.
3. Przyjęcie polityki ochrony danych osobowych
Firmy telekomunikacyjne – ze względu na zakres przetwarzanych danych – powinny przygotować na piśmie politykę ochrony danych przyjęte zarządzeniem przez uprawnione osoby/organy. Polityka służy zarówno celom wewnętrznym firmy (określa, kto i jak może dane przetwarzać), jak i celom zewnętrznym (wykazuje przed organem nadzoru istnienie systemu ochrony danych osobowych).
4. Zawarcie umów o powierzenie przetwarzania danych osobowych
Obowiązek zawierania umów o powierzenie przetwarzania jest nowym obowiązkiem w zakresie ochrony danych. Jeżeli korzystają Państwo z zewnętrznych usługodawców, którym powierzacie dane osobowe (np. abonentów, pracowników, kontrahentów) należy zawrzeć z nimi umowy o powierzenie przetwarzania danych osobowych.
5. Udzielenie pracownikom upoważnień do przetwarzania danych
Jeżeli zatrudniają Państwo pracowników, konieczne jest udzielenie im upoważnień określających, jakie dane i w jaki sposób mogą przetwarzać. Takie działanie pozwoli wykazać zachowanie należytej staranności w przypadku ewentualnego wycieku danych.
6. Powołanie i zgłoszenie do urzędu Inspektora ochrony danych osobowych
Większe firmy telekomunikacyjne mają obowiązek posiadania wyznaczonej osoby do wykonywania określonych czynności z zakresu ochrony danych osobowych. Osobą tą jest Inspektor ochrony danych. Administrator danych ma obowiązek nie tylko zawrzeć umowę z taką osobą, ale także zgłosić ją do Urzędu Ochrony Danych Osobowych. Termin na powołanie i zgłoszenie Inspektora upływa w dniu 31 lipca 2018 r.
7. Przekazanie informacji o przetwarzanych danych osobom fizycznym
Obowiązek poinformowania osoby fizycznej o tym, jak jej dane osobowe są przetwarzane, istniał już wcześniej, teraz jednak ulega pewnym zmianom. To właśnie modyfikacji przepisów w tym zakresie „zawdzięczamy” zalew maili na temat RODO w naszych skrzynkach pocztowych. Niestety, właśnie przesłanie maila pozostaje także dla Państwa jedną z łatwiejszych form rozwiązania problemu zapewnienia odpowiedniej informacji, aczkolwiek istnieją również inne metody.
Reasumując, sprawa jest dosyć prosta. Jeżeli wykonali Państwo wszystkie powyższe czynności, co do zasady nie mają się Państwo czego obawiać. Jeżeli nie – proszę podjąć niezbędne działania zanim wejdą w życie polskie przepisy wykonawcze do rozporządzenia RODO.
Kancelaria Radcy prawnego Katarzyny Orzeł wraz z fundacją Nasza Wizja powołała do życia projekt RODOdlaISP. W ramach projektu doradzamy firmom telekomunikacyjnym w zakresie wdrażania RODO, świadczymy usługi Inspektora danych osobowych oraz zajmujemy się kompleksową obsługą ochrony danych osobowych. Fundacja jako pierwszy podmiot na rynku wprowadziła kompleksowy program umożliwiający wdrożenie RODO. W jego ramach organizowane są grupy wdrożeniowe, które pozwalają na grupowe wdrożenie RODO na korzystniejszych warunkach.
Jeżeli potrzebują Państwo naszej pomocy, zapraszam do kontaktu z Fundacją pod numerem 530 280 395 lub mailem info@rododlaisp.pl a także do odwiedzenia nas w biurze Fundacji lub w krakowskim biurze Kancelarii Orzeł przy ulicy Zwierzynieckiej 17/3.
AUTOR: mec.Katarzyna Orzeł
Radca Prawny, specjalista z zakresu ochrony danych osobowych, prawa własności intelektualnej oraz prawa telekomunikacyjnego. Współpracuje z organizacjami zrzeszającymi przedsiębiorców w tym z KIKE, Fundacją Nasza Wizja oraz innymi organizacjami, w których opracowuję między innymi zasady ochrony danych osobowych. Prelegent na licznych konferencjach poświęconych ochronie danych osobowych. Autorka specjalistycznych artykułów koncentrujących się na zasadach legalnego wykorzystywania danych osobowych. Prowadzi Kancelarię Radcy Prawnego w Krakowie. Autorka bloga prawniczego o zagadnieniach związanych z wdrożeniem RODO w branży fotograficznej – rododlafotografa.pl oraz w branży ISP – rododlaisp.pl.
