Każdy podmiot, który w ramach prowadzonej działalności przetwarza dane osobowe powinien w pierwszej kolejności zidentyfikować wszystkie realizowane procesy przetwarzania danych osobowych. Działania te powinny zostać przeprowadzone w sposób dokładny i kompleksowy, tak aby nie pominąć żadnych procesów które mogą wiązać się z przetwarzaniem danych osobowych. Pominięcie etapu szczegółowej identyfikacji procesów przetwarzania danych osobowych lub jego zbagatelizowanie (np. pobieżne lub niekompletne zidentyfikowanie procesów przetwarzania danych) może skutkować poważnymi problemami, a niekiedy prowadzić wręcz do uniemożliwienia prawidłowego wdrożenia wymogów wynikających z RODO.
Właściwe zidentyfikowanie procesów przetwarzania danych osobowych, które ma na celu określenie wszystkich procesów przetwarzania danych osobowych jakie występują w danej organizacji powinno uwzględniać zarówno charakter realizowanych procesów przetwarzania danych osobowych (w tym sposób pozyskiwania danych, zakres i cele ich przetwarzania) jak i stosowane przy przetwarzaniu danych osobowych rozwiązania techniczne (w tym np. aplikacje, wykorzystywany sprzęt, itp.). Dopiero sumienne wykonanie powyższych działań pozwoli na właściwe zaprojektowanie systemu ochrony danych osobowych w organizacji oraz wdrożenie wymogów wynikających z przepisów o ochronie danych osobowych (w tym opracowanie odpowiedniej dokumentacji). Właściwe zidentyfikowanie procesów przetwarzania danych osobowych ma bowiem bardzo istotny wpływ na właściwą realizację poszczególnych obowiązków wynikających z RODO, w tym m.in. na:
- dokonanie oceny, czy właściwie realizowane są podstawowe zasady przetwarzania danych (art. 5 RODO);
- określenie właściwych podstaw prawych przetwarzania danych osobowych (art. 6 RODO);
- wykonywanie obowiązków informacyjnych (art. 13/14 RODO);
- uwzględnienie wymogów związanych z powierzeniem przetwarzania danych osobowych (art. 28 RODO);
- prowadzenie rejestru czynności przetwarzania danych (administratora) oraz rejestru kategorii czynności przetwarzania (procesora) (art. 30 RODO);
- analizę ryzyka i dobór środków technicznych i organizacyjnych mających służyć właściwej ochronie danych osobowych (art. 32 RODO);
- dokonanie oceny niezbędności przeprowadzenia oceny skutków dla ochrony danych, przy czym należy pamiętać, że taka ocena powinna być zasadniczo przeprowadzana przed rozpoczęciem przetwarzania danych (art. 35 RODO);
- ocenę niezbędności wyznaczenia inspektora ochrony danych (art. 37 RODO);
W przypadku braku lub dokonania identyfikacji procesów przetwarzania danych osobowych lub dokonania jedynie częściowej identyfikacji trudno wyobrazić sobie także właściwą realizację praw podmiotów danych, jak również odpowiednio szybką i sprawną reakcję na naruszenie ochrony danych osobowych. Właśnie dlatego przy rozpoczęciu działań mających na celu wdrożenie wymogów RODO w organizacji niezwykle istotnym aspektem jest precyzyjne zidentyfikowanie wszystkich procesów przetwarzania danych osobowych. Należy zatem z ograniczonym zaufaniem podchodzić do usługodawców, którzy proponują „wdrożenie RODO” sprowadzające się wyłącznie do przekazania pakietu szablonowych dokumentów i wzorcowych klauzul bez poznania specyfiki konkretnej organizacji. Nie ma oczywiście nic złego w wykorzystywaniu szablonów i wzorów, o ile są one odpowiednio dostosowane do potrzeb i możliwości konkretnego podmiotu. Przygotowanie odpowiednich dokumentów nie jest jednak możliwe bez przeprowadzenia kompleksowej identyfikacji procesów przetwarzania danych osobowych, która jest niezbędna dla właściwego dostosowania organizacji do wymogów wynikających z przepisów o ochronie danych osobowych. Nie ma tutaj niestety miejsca na działanie „na skróty”, ponieważ tego typu próby mogą prowadzić do negatywnych konsekwencji w przyszłości. „Wdrożenie” RODO poprzez zaimplementowanie szablonowych rozwiązań, bez przeprowadzenia wcześniejszej identyfikacji procesów przetwarzania danych osobowych, może dodatkowo dawać złudne poczucie bezpieczeństwa, które zawiedzie w najmniej oczekiwanym momencie (np. w sytuacji naruszenia ochrony danych lub kontroli przeprowadzanej przez Prezesa UODO).
Jeśli jesteś zainteresowany przeprowadzeniem kompleksowej identyfikacji procesów przetwarzania danych osobowych zapoznaj się z naszą ofertą audytową lub ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.
