Zgodnie z RODO, celem jego wprowadzenia jest zmuszenie wszystkich podmiotów i osób do przyjrzenia się temu co robią z posiadanymi przez siebie danymi osobowymi, kontroli tych działań pod względem ewentualnego ryzyka i identyfikacji zagrożeń, zminimalizowania tych zagrożeń (skutki prawne, finansowe, wizerunkowe), a następnie umiejętności udokumentowania tych czynności (tzw. zasada rozliczalności). Jak widać z powyższego, kluczowe znaczenie ma zebranie informacji, weryfikacja i wyciągnięcie wniosków oraz udokumentowanie tych procesów.
RODO we wszystkich podmiotach sprowadza się do następujących czynności:
- Należy dokonać „pogłębionej analizy” – jakie dane osobowe posiada związek: listy mailingowe pracowników, deklaracje członkowskie, dane pracowników związku, dane będące w posiadaniu związku a pochodzące np. z komisji socjalnych, kserokopie dokumentów lub poświadczeń dochodów – należy sprawdzić co związek dostaje, jakie dane gromadzi i gdzie je trzyma).
- Należy sprawdzić, czy posiadane dane komuś zagrażają (jeśli np. związek ma kopie dowodów osobistych i dane inne, co w przypadku wykradzenia może kogoś narazić na kradzież tożsamości).
- Należy ustalić, jak są te dane przechowywane – kto ma dostęp (np. sprzątaczka), komu je wysyłają (informatyk, prawnicy) co się z nimi dzieje jak przestają być potrzebne (wyrzucane do kosza, niszczarka, ognisko)
- W następnej kolejności należy to opisać – zrobić wewnętrzny audyt, i jeśli na jego postawie zarząd związku ustali, że te dane (w zależności od ich stopnia potencjalnej szkodliwości utraty), są źle chronione, należy opisać nieprawidłowości oraz jak je zlikwidować. Potem pozostaje już tylko wdrożenie wyżej opisanych procedur. W następnej kolejności wszystkie czynności mają być dokonywane zgonie z tymi procedurami. Kontrola procedur i sprawdzenie zabezpieczenia danych powinno być dokonywane przynajmniej raz do roku. W przypadku przekazywania danych osobowych innym osobom lub podmiotom, z którymi się współpracuje należy pobierać oświadczenia o zachowaniu w poufności danych osobowych, jakie im będą przy różnych okazjach udostępniane.
- W przypadku Zrzeszenia Związków Zawodowych Energetyków, z pewnością potrzebny będzie audyt wewnętrzny danych osobowych w sanatoriach (bo to są faktycznie dane wrażliwe) oraz wdrożenie odpowiednich procedur ich zabezpieczenia. W takich podmiotach, z uwagi na nadzór Narodowego Funduszu Zdrowia oraz dodatkowe obowiązki związane z zawiadomieniem o ewentualnym włamaniu czy kradzieży danych, można spodziewać się częstych kontroli.
Generalnie RODO sprowadza się do:
- Rachunek sumienia (analiza sytuacji)
- Postanowienie poprawy (co należy zmienić)
- Pokuta (wdrożenie zmian i ich pilnowanie)
Wszystkie procedury opisane na poszczególnych etapach, podstawą jest bowiem odpowiednia postawa dbania o zabezpieczenie danych osobowych i praca włożona w ich ochronę. Bardziej szczegółowe opracowanie znajdziecie Państwo analizie prawnej RODO, stanowiącej kolejny artykuł