Wdrożenie RODO w firmie – od czego zacząć?
Ochrona danych osobowych nie jest niczym nowym. Przed 25 maja 2018 r. przedsiębiorcy również musieli odpowiednio zabezpieczać dane, zgodnie z przepisami poprzedniej ustawy o ochronie danych osobowych.
Nie w każdym więc przypadku przedsiębiorca musi zaczynać wdrażanie RODO od zera. Wszystko zależy od tego, na ile przestrzegał przepisów poprzedniej ustawy o ochronie danych osobowych oraz aktów wykonawczych.
Wdrożenie RODO w firmie powinno rozpocząć się od przeprowadzenia audytu w zakresie ochrony danych, dzięki któremu przedsiębiorca będzie mógł określić stan wyjściowy i zaplanować odpowiednie działania wdrożeniowe.
Po pierwsze, celem audytu jest ocena poziomu ochrony danych w firmie na chwilę obecną. Na tym etapie ważne jest określenie:
- czy na gruncie starej ustawy stworzona została dokumentacja, taka jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym,
- czy z procesorami (podmiotami, które przetwarzają dane w imieniu przedsiębiorcy) zostały zawarte umowy o powierzeniu przetwarzania danych osobowych,
- czy osoby bądź też podmioty, które mają dostęp do danych zostały zobowiązane do zachowania poufności tych danych,
- jakie są zabezpieczenia systemu informatycznego, w którym przetwarzane są dane,
- jakie rozwiązania organizacyjne i techniczne wprowadzone zostały w firmie, czy w tym zakresie przeprowadzone zostały szkolenia dla pracowników.
RODO nie stanowi o tym w jaki sposób mamy chronić dane. Dlaczego więc nie wykorzystać tego co już mamy? Dokumentacja, co do zasady będzie wymagała aktualizacji i dostosowania do przepisów RODO, jednakże jej sens i cel pozostaną te same. Warto również wykorzystać mechanizmy i zasady ochrony danych, które już funkcjonują w firmie, odpowiednio je uzupełniając i usprawniając.
Po drugie, audyt umożliwi przedsiębiorcy po raz kolejny spojrzeć na firmę z perspektywy ochrony danych i ustalić jakie kategorie danych są przetwarzane w firmie, na jakiej podstawie prawnej, czy też w jakim celu. Ustalenia te są niezbędne do aktualizacji istniejącej dokumentacji, ale również do stworzenia nowej dokumentacji, wymaganej przepisami RODO, chociażby Rejestru czynności przetwarzania danych.
Ponadto, RODO wymaga od przedsiębiorcy podejścia opartego na ryzyku. Co to oznacza w praktyce? W każdej sytuacji przedsiębiorca musi mieć na względzie, że z przyczyn od niego zależnych bądź też niezależnych może dojść do naruszenia ochrony danych w firmie. W związku z tym, w trakcie audytu należy określić poszczególne ryzyka oraz zagrożenia związane z przetwarzanymi danymi, co będzie wstępem do stworzenia dokumentu o nazwie analiza ryzyka, a także podjęcia działań zapobiegawczych oraz zaplanowania ewentualnych działań naprawczych.
Niestety, do dnia 25 maja tego roku ochrona danych najczęściej kończyła się na stworzeniu odpowiedniej, wymaganej prawem dokumentacji. Jednym spośród szeregu celów określonych przez RODO jest, aby ochrona danych nie była tylko na piśmie, ale również w praktyce, to znaczy w codziennej pracy przedsiębiorcy i jego pracowników.
Dlatego ważne jest, aby wdrożenie RODO było szczegółowo zaplanowane i poprzedzone audytem zgodności działania przedsiębiorcy z przepisami o ochronie danych.