W 2016 roku opracowano unijne rozporządzenie o ochronie danych osobowych, a 2 lata później zostało ono wprowadzone w życie. Od tego czasu wszystkie podmioty zajmujące się przetwarzaniem takich danych są zobowiązane do przestrzegania ustaleń tego dokumentu. Wdrożenie procedur RODO w firmie nie jest jednak proste. Dlatego warto rozważyć powierzenie go specjalistom z zewnętrznej firmy. Jak wygląda taki proces i kto przeprowadzi go najlepiej?
Jak wygląda wdrożenie RODO w firmie?
Przetwarzanie danych osobowych jest bardzo szerokim pojęciem. Obejmuje zarówno gromadzenie takich danych, jak i ich przechowywanie oraz wykorzystywanie do różnych celów i na wiele sposobów.
Są to jednak informacje będące własnością konkretnych osób i mogące przyczynić się do popełnienia przestępstwa ze szkodą dla ich właściciela. Dlatego każda operacja wykonana z udziałem tych danych wymaga starannego zabezpieczenia przed dostępem osób niepowołanych.
Dane osobowe mogą być chronione na wiele sposobów zależnie od tego, jaką mają one postać, gdzie są przechowywane i jak wykorzystywane. Innego postępowania będzie wymagać przechowywanie dokumentacji kadrowej w firmie, a innego dostęp do danych w bazie wykorzystywanej do celów marketingowych.
W praktyce oznacza to, że w każdym przedsiębiorstwie, organizacji czy instytucji wdrażanie tych procedur będzie przebiegać inaczej. Pomimo tych różnic jednak pewne kroki są wspólne dla każdego takiego procesu.
Audyt RODO
Pierwszym krokiem przy wdrażaniu procedur RODO w firmie zawsze jest zgromadzenie danych niezbędnych do opracowania planu wdrożenia. Przypomina to diagnostykę przed naprawą urządzenia, która pozwala określić, co się zepsuło i jakie czynności trzeba wykonać podczas naprawy. W przypadku wdrażania RODO formą takiej diagnostyki jest audyt RODO.
Celem audytu jest przede wszystkim zebranie informacji o sytuacji w firmie i wszystkich metodach, narzędziach czy środkach służących przetwarzaniu danych.
Podczas przeprowadzania audytu RODO zazwyczaj odpowiada się na pytania takie jak:
- jakie dane są przetwarzane w firmie,
- w jakim zakresie się je przetwarza i jakie wykonuje na nich działania,
- kto zajmuje się przetwarzaniem danych,
- czy przestrzegane są zasady minimalizacji danych, ograniczenia ich przechowywania, rozliczalności i celu przetwarzania,
- czy stosowane metody są skuteczne i gwarantują bezpieczeństwo danych osobowych,
- czy w firmie jest potrzebny inspektor danych osobowych,
- czy są zgromadzone wszystkie wymagane upoważnienia?
Podczas audytu dokonuje się też analizy ryzyka, czyli oceny, w jakim stopniu przy danym systemie przetwarzania i ochrony dane są zagrożone wyciekiem. Po audycie przygotowuje się wnioski oparte o analizę zebranych danych. Wskazują one słabe i mocne strony firmy oraz zawierają zalecenia dotyczące sugerowanych zmian.
Dokumentacja RODO
Jednym z elementów stosowania procedur RODO w firmie jest dokumentacja. Przedsiębiorca i administrator danych osobowych jest zobowiązany do jej prowadzenia, a celem jest wykazanie wszystkich przeprowadzonych czynności czy podjętych decyzji związanych z ochroną danych osobowych w firmie. Są one udostępniane podczas ewentualnych kontroli i wskazują poprawność lub nieprawidłowości w działaniu administratora.
Dokumentacja RODO obejmuje:
- rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania
- rejestr powiadomień UODO o naruszeniu bezpieczeństwa danych,
- wewnętrzny rejestr naruszeń ochrony danych.
Niezbędne jest też przygotowanie kilku instrukcji i procedur postępowania w przypadku cyberataku, naruszenia bezpieczeństwa danych, niszczenia danych, postępowania przy przekazywaniu danych podmiotom zewnętrznym czy przetwarzania danych na urządzeniach mobilnych.
Komu powierzyć wdrożenie RODO?
Wdrażanie RODO przyjmuje inną postać w każdej firmie. Dlatego nie można napisać jednej schematycznej instrukcji, zgodnie z którą będą mogły postępować osoby wykonujące to zadanie.
Co więcej, do jego realizacji są potrzebne wiedza, doświadczenie oraz określone umiejętności – np. kierowania ludźmi, sprawnej komunikacji, szybkiej oceny sytuacji i wyciągania wniosków. Dlatego powierzenie wdrożenia RODO w firmie wymaga starannego wyboru pracownika z odpowiednimi kwalifikacjami i przeszkoleniem.
Przepisy nie precyzują, kto może wykonać takie zadanie ani jakie powinien mieć kwalifikacje. Oczywiste jest jednak, że nie może tego wykonać osoba, która nie zna rozporządzenia i towarzyszących mu aktów prawnych czy nie dysponuje odpowiednimi narzędziami.
Doświadczenia nie można kupić ani wypożyczyć, jednak uzyskanie potrzebnej wiedzy jest możliwe dzięki odpowiednim szkoleniom, które organizuje firma konsultingowa Pin Consulting Sp. z o.o. Pozwolą one na samodzielne wdrożenie zasad RODO przez wybranych do tego celu pracowników.
Wdrażanie RODO przez zewnętrzną firmę
Samodzielne wdrażanie procedur RODO jest trudne dla firm, które wcześniej nie miały do czynienia z tym zagadnieniem. Nie zawsze też są w niej zatrudnieni pracownicy, którzy mogą przeprowadzić ten proces nawet po przejściu szkolenia.
Alternatywą jest współpraca z zewnętrzną firmą, taką jak PIN Consulting, która służy pomocą przy całościowym procesie wdrażania RODO w firmie.
Zaletą takiego rozwiązania z pewnością jest powierzenie zadania osobom, które przeprowadziły już wiele przedsiębiorstw przez cały proces, zachowując poufność. Potrafią realnie ocenić sytuację, dobrać metody i narzędzia, a przede wszystkim zaoszczędzić wiele czasu.
Wadą są oczywiście koszty, gdyż za usługę trzeba zapłacić. Są one uzależnione od zakresu prac i wielkości firmy. Mogą wynieść kilka, a nawet kilkanaście tysięcy złotych.