Garbary 71/19 61-758 Poznań
796 448 666
rodo@leanlaw.pl

Jak wdrożyć RODO?

Created with Sketch.

Jak wdrożyć RODO?

Szał na RODO wciąż trwa, a w ciągu miesiąca to hasło było jednym z najbardziej wyszukiwanych w Internecie. Do Urzędu Ochrony Danych Osobowych wpłynęło 750 skarg, czyli tyle ile w zeszłych latach napływało w ciągu 3 miesięcy!

Ogólne rozporządzenie o ochronie danych osobowych wciąż budzi wiele kontrowersji i niepewności – tym samym z narzędzia, które ma pomóc w lepszym zabezpieczeniu danych staje się metodą na zniszczenie konkurencji i odegraniu się na nielubianym sprzedawcy. Większość przedsiębiorców nie próbuje wdrożyć tych przepisów dla swojej wygody, lecz robi to przed strachem, że konkurencja doniesie. Tym samym absurdy RODO się mnożą i choć Ministerstwo Cyfryzacji stara się z tym walczyć, to wciąż pozostaje wiele niejasności. Jak więc skutecznie, krok po kroku, odpowiednio wdrożyć w szeregi swojego przedsiębiorstwa przepisy o ochronie danych?

Stwórz plan działania

Przede wszystkim należy zacząć od dokładnego zapoznania się z przepisami rozporządzenia oraz ustawy i stworzenia PLANU, czyli określenia jakie procesy trzeba przeprowadzić, w jakim czasie i kto będzie za nie odpowiedzialny. Postępowanie według planu pozwoli uporządkować schemat działania i zapobiegnie powstaniu chaosu oraz zgubieniu się w gąszczu przepisów prawnych.

Przeprowadź audyt

Do odpowiedniego wdrożenia przepisów potrzebne jest przeprowadzenie AUDYTU wewnętrznego w przedsiębiorstwie. Należy wówczas określić wszystkie czynności związane z przetwarzaniem oraz rodzaj przetwarzanych danych osobowych. Trzeba wziąć pod uwagę wszystkie podmioty, których dane osobowe są pozyskiwane – klienci, pracownicy. Pamiętajmy, że rozporządzenie dotyczy ochrony osób fizycznych, jeśli więc współpracujesz tylko z osobami prawnymi (spółkami) to masz problem z głowy – ich dane nie podlegają ochronie przepisów rozporządzenia. Audyt pozwoli określić punkty, które będą wymagały poprawy i wzmocnienia bezpieczeństwa.

Wykonaj analizę ryzyka

Kolejnym krokiem, jaki należy podjąć jest wykonanie ANALIZA RYZYKA. Jest to jedna z ważniejszych zmian, jaka wynika z przepisów rozporządzenia, ale też bardzo przydatne narzędzie. Przeprowadzenie chociaż ogólnej analizy jest obowiązkowe dla każdego, kto przetwarza dane osobowe. Przy szacowaniu ryzyka należy zidentyfikować

  • potencjalne zagrożenia dla przedsiębiorstwa
  • aktywa, na które dane zdarzenia będą wpływać
  • prawdopodobieństwo wystąpienia ryzyka
  • środki zaradcze, jakie należy podjąć by zapobiec tym zagrożeniom.

Pamiętajmy, że ryzyko jest zmienne w czasie i środki bezpieczeństwa należy okresowo aktualizować i dopasowywać do zmieniającego się niebezpieczeństwa.

Opracuj dokumentację

Aby spełniać przepisy ogólnego rozporządzenia o ochronie danych osobowych trzeba przygotować odpowiednią DOKUMENTACJĘ i przyjąć ją w swoim przedsiębiorstwie. Do tej pory obowiązkowo należało mieć w organizacji wewnętrzna politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Na stronie Urzędu Ochrony Danych Osobowych ogłoszono elementy, o które należy uzupełnić dotychczasową dokumentację, a które wprost wynikają z przepisów rozporządzenia. Są to:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedura na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  • procedura prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raport z przeprowadzonej, ogólnej analizy ryzyka;
  • raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  • procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  • plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  • procedury odtwarzania systemu po awarii oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

Taką dokumentację powinno się w odpowiedni sposób przyjąć w swojej organizacji – jeśli jest to spółka to należy przyjąć uchwałę wspólników bądź uchwałę zarządu. Każda osoba pracująca w przedsiębiorstwie powinna mieć możliwość zapoznania się z przyjętą dokumentacją dotyczącą ochrony danych osobowych i procedurach jakie będą podejmowane w firmie.

Przeprowadź szkolenie

Kolejnym krokiem jest SZKOLENIE dla pracowników i osób, mających styczność z przetwarzaniem danych osobowych w organizacji. Zapoznanie się z przepisami oraz wewnętrznymi procedurami obowiązującymi w przedsiębiorstwie, pozwoli zmniejszyć opór przed zmianami, a także da praktyczną wiedzę pracownikowi o ochronie danych, nie tylko klientów, ale także ich własnych. Dobrą praktyką jest przeprowadzenie szkolenia dla każdego nowego pracownika przed podjęciem zatrudnienia.

Aktualizuj środki bezpieczeństwa

Ostatnim krokiem, nie mniej ważnym niż pozostałe, jest okresowa AKTUALIZACJA dokumentacji oraz przede wszystkim stosowanych środków bezpieczeństwa.

 

 

Wdrożenie RODO może z początku wydawać się trudne i nastręczać wiele trudności – jeśli masz problem z którymś z etapów lub chcesz, aby ktoś wdrożył przepisy o ochronie danych osobowych w Twojej organizacji skorzystaj z pomocy naszych specjalistów, którzy w profesjonalny sposób pozwolą Ci przejść przez ten proces.

 

Eliza Wojciechowska, Specjalista ds. ochrony danych osobowych
rodo@leanlaw.pl