Coraz częściej słyszymy o nowych regulacjach, jakie wprowadza europejskie rozporządzenie o ochronie danych osobowych (RODO). Zaczną one obowiązywać od 25 maja 2018 r. Tego dnia wszystkie procesy w firmach powinny być dostosowane do nowych przepisów. Fundacja Wiedza To Bezpieczeństwo wskazuje, że ich wdrożenie – pod warunkiem dobrego zaplanowania i zdecydowanych działań – zajmie przynajmniej klika miesięcy. A także podpowiada, jak przedsiębiorcy mogą skutecznie przygotować się do stosowania nowego prawa.
Może wydawać się, że wdrożenie odpowiedniego systemu ochrony danych osobowych zgodnego z przepisami RODO jest procesem trudnym. Aby mieć gwarancję, że cała procedura przebiegnie efektywnie, należy odpowiednio wcześnie się do tego przygotować i właściwie zidentyfikować problemy, które mogą się pojawić– mówi Marcin Zadrożny, ODO 24.
Od czego zacząć przygotowania do RODO?
- Wybierz sposób wdrożenia
Nowe przepisy można wprowadzić z wykorzystaniem własnych pracowników. Zwłaszcza, jeżeli firma posiada dział bezpieczeństwa lub compliance. Alternatywą jest wybór ekspertów zewnętrznych, którzy posiadają wypracowaną metodologię działań. Przy wdrożeniu RODO niezbędna jest wiedza interdyscyplinarna.
- Powołaj zespół wdrożeniowy
Przygotowanie do RODO jest procesem angażującym całą organizację. Dlatego konieczne jest powołanie odpowiedniego zespołu, który będzie czuwał nad całością prac wdrożeniowych.
- Stwórz harmonogram
Wskazanie zakresu prac oraz terminów wykonywania poszczególnych etapów przystosowywania firmy do RODO jest elementem, który pozwali określić jaki etap będzie najbardziej pracochłonny i kosztowny oraz od czego należałoby zacząć.
- Przeanalizuj ryzyko i przeprowadź DPIA
Unijne rozporządzenie wymusza na przedsiębiorcach dokonanie analizy ryzyka przetwarzania danych, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający temu ryzyku poprzez wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Dopiero, na postawie oceny ryzyka firmy mogą zdecydować, jakie zabezpieczenia należy wprowadzić. Ocena skutków przetwarzania dla ochrony danych (DPIA) jest istotnym i nowym narzędziem mającym na celu pomoc administratorom danych w wykazaniu, że podjęto odpowiednie środki w celu zapewnieniu zgodności z RODO.
- Dostosuj systemy IT
Systemy IT muszą przede wszystkim realizować prawa osób, których dane dotyczą, a zastosowane środki techniczne i organizacyjne powinny być wynikiem uprzednio wykonanej analizy ryzyka. Dodatkowo administrator danych osobowych powinien zapewnić zdolność do ciągłego zapewnienia poufności, integralności dostępności i odporności systemów i usług przetwarzania oraz powinien regularnie testować, mierzyć, oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
- Organizuj szkolenia
Aby mieć pewność, że nowy system ochrony danych osobowych funkcjonuje sprawnie nie wystarczy jednorazowa realizacja zadań służących dostosowaniu się do nowych procedur. Konieczne jest przygotowanie wszystkich pracowników upoważnionych do przetwarzania danych i dostarczenie im odpowiedniej wiedzy. Człowiek, to zawsze najsłabsze ogniwo każdego systemu, w tym systemu ochrony danych osobowych.
- Dostosuj klauzule informacyjne
Do tej pory obejmowały one wyłącznie wąski zakres informacji. RODO rozszerza obowiązek informacyjny m.in. o okres przechowywania danych osobowych, informacje o wszystkich prawach przysługujących osobie, której dane dotyczą, cofnięciu zgody na przetwarzanie danych, ewentualnym profilowaniu czy prawie wniesienia skargi do organu nadzorczego – dziś GIODO, a na gruncie stosowania RODO najprawdopodobniej Urzędu Ochrony Danych Osobowych.
- Przygotuj wewnętrzne procedury
Wszystkie obowiązujące w firmie zasady powinny zostać uaktualnione, dostosowane i rozbudowane o nowe obowiązki, wynikające z RODO. Należy zwrócić szczególną uwagę na to by dostosować proces przetwarzania danych osobowych pod względem m.in. wymogów legalności, adekwatności i przejrzystości.
- Upewnij się, czy Twoja firma musi powołać Inspektora Ochrony Danych
Po wprowadzeniu nowego prawa Inspektor Ochrony Danych (IOD) będzie odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI). Aktualnie powołanie ABI nie jest obligatoryjne. RODO reguluje tę kwestię w sposób odmienny i wymusza powołanie IOD np. w organach i podmiotach publicznych oraz gdy np. główna działalność podmiotu polega na przetwarzaniu danych osobowych szczególnej kategorii (np. dot. stanu zdrowia) czy wyroków skazujących i naruszeń prawa.
- Zaplanuj audyt zamknięcia
…czyli weryfikację i ocenę wszystkich działań dostosowawczych. Warto by firmy przeprowadziły również porównanie aktualnego systemu ochrony z jego stanem sprzed wdrożenia. Audyt zamknięcia ujawnia, które zadania można było wykonać lepiej oraz jakie elementy wymagają jeszcze dopracowania.
Koniecznym w przygotowaniach do implementacji RODO jest zaangażowanie do tego odpowiednich osób oraz opracowanie dobrego planu. W większych organizacjach, o złożonych procesach, warto rozważyć powołanie interdyscyplinarnego zespołu reprezentującego różne obszary działalności, w tym m.in.: Dział Prawny, Biznes, HR, Handel, IT/BI, Marketing. Istotnym punktem w planie przygotowań jest przenalizowanie przepływów danych osobowych w organizacji wraz z oceną ryzyka, dostosowanie procedur i dokumentacji oraz komunikacja zmian połączona z programem edukacyjnym. Wszystko po to, by zrozumienie istoty ochrony danych osobowych, które niesie RODO, osiągnąć i podtrzymywać na każdym poziomie organizacji – mówi Katarzyna Stryła, Dyrektor Legal & Compliance Software Wolters Kluwer Polska.
