Jak sprawnie przeprowadzić wdrożenie RODO

gru 28, 2021 | Poradniki o RODO i iGDPR dla praktyków i początkujących

Wielokrotnie osoby z dużą wiedzą i praktyką zawodową nie posiadają wystarczającego doświadczenia projektowo-wdrożeniowego. Dotyczy to wielu obszarów gospodarki i administracji. Nie inaczej jest w obszarze związanym z zarządzaniem RODO. W tym artykule chcielibyśmy skupić się na tym, jak sprawnie przeprowadzić wdrożenie RODO, zabezpieczyć obszar zarządzania danymi osobowymi, jednocześnie czuć się z tym komfortowo.

Rejestr czynności

Ogólne rozporządzenie o ochronie danych wymaga (art. 30 RODO) prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr czynności przetwarzania danych osobowych musi zawierać istotne informacje o przetwarzaniu danych, w tym kategorie danych, kategorie podmiotów danych, cel przetwarzania i odbiorców danych. Pierwszym krokiem implementacji RODO będzie zatem utworzenie rejestru przetwarzania danych osobowych. Systemie iGDPR można to uczynić klikając kolejno Ryzyko oraz Czynności przetwarzania i natychmiast przejść do tworzenia czynności.

Ocena ryzyka

Drugim krokiem wdrożenia RODO jest wypełnienie obowiązku przeprowadzenia przez administratora oceny skutków i jej udokumentowania przed rozpoczęciem zamierzonego przetwarzania danych. Służą do tego instrumenty oceny wpływu na prywatność (ang. PIA, Privacy Impact Assessment) i oceny skutków dla ochrony danych (ang. DPIA, Data Protection Impact Assessment). Należy zatem dokonać ocenę wpływu na prywatność, a jeżeli ten test wykaże taką konieczność także ocenę skutków dla ochrony danych. Systemie iGDPR można to uczynić klikając kolejno Ryzyko oraz PIA lub DPIA. Warto dodać, że system iGDPR umożliwia tworzenie własnych pytań, ich zestawów oraz nadawanie im odpowiednich wag.

Ocena prawnie uzasadnionego interesu administratora

Zgodnie z art. 6 ust. 1 lit. f RODO, podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes. Jest to elastyczna podstawa prawna do gromadzenia danych osobowych, dlatego wymaga przeprowadzenia oceny prawnie uzasadnionego interesu (ang. LIA, legitimate interests assessment). Zgodnie z obowiązkiem rozliczalności, który określono w art. 5 ust. 2 i art. 24 RODO, ocenę prawnie uzasadnionego interesu (LIA) należy udokumentować. Powinien być to kolejny krok we wdrożeniu RODO, a co ważne, wskazane jest, by oceny takiej dokonała osoba posiadająca właściwą wiedzę prawniczą. Podobnie jak w przypadku PIA oraz DPIA, system iGDPR umożliwia tworzenie własnych pytań, ich zestawów oraz nadawanie im odpowiednich wag.

Określenie okresów retencji danych

Polityka retencji danych osobowych określa zasady dotyczące przechowywania danych w organizacji. Ważne, aby dane przechowywać tylko tak długo, jak jest to konieczne. Zasady dotyczące retencji danych wynikają z art. 5, art. 13, art. 17 i art. 30 RODO. Harmonogram przechowywania danych określa, jak długo konkretne dane osobowe mogą być przechowywane. Zawiera również wytyczne wskazujące jakie dane mają być usuwane, kiedy oraz w jaki sposób. Kolejnym działaniem powinno być zatem utworzenie harmonogramu przechowywania danych oraz przypisania zadań retencyjnych do właścicieli. System iGDPR umożliwia tę funkcjonalność w module Retencja i zakładce Okresy retencji.

Upoważnienia do przetwarzania danych osobowych

Dane osobowe można przetwarzać wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora lub podmiotu przetwarzającego (art. 29 i art. 32 RODO). Jako następne działanie w implementacji RODO należy zatem udzielić właściwych upoważnień do przetwarzania danych osobowych odpowiednim osobom. Dlatego system iGDPR umożliwia takie działanie w module Operacje i funkcjonalności Upoważnienia.

Na tych czynnościach kończy się faza wdrożenia RODO, a pozostałe aspekty związane związane z powdrożeniową obsługą operacyjną opisane zostały w osobnym artykule.

By dowiedzieć się więcej na temat wdrażania RODO zapraszamy do rejestracji i udziału w bezpłatnych webinarach, na których omawiane są różne funkcjonalności systemu iGDPR.

Polecane treści