W maju 2018 roku w życie weszło RODO. Trzeba przyznać, że wywołało niemałe zamieszanie wśród wielu przedsiębiorców. Każda firma, która w dowolnej formie przetwarza dane, musiała zadbać o odpowiednie wdrożenia i przystosowanie się do nowych przepisów.
A jak wygląda rzeczywistość po wdrożeniu RODO? Czy to ostatecznie zamyka temat, czy wręcz przeciwnie?
Jakie zmiany wprowadza RODO?
Temat RODO poruszałem już na blogu nie przez przypadek. Po pierwsze, posiadając własną firmę byłem zmuszony przeprowadzić szereg zmian, dokładnie tak jak wszyscy przedsiębiorcy. Po drugie, działając z zespołem WBT-IT miałem okazję brać aktywny udział w tego rodzaju wdrożeniach u klientów.
Muszę przyznać, że to ciekawe doświadczenie – znaleźć się tak po obu stronach barykady. Ciekawe i pouczające. Pod wieloma względami. Przy okazji upewniłem się w przekonaniu, że RODO to zmiana na lepsze. Pomaga chronić dane osobowe klientów, czyli w praktyce – nas wszystkich. W końcu tak ten świat jest skonstruowany, że każdy z nas jest konsumentem i czyimś klientem. Nowe przepisy w ochronie danych osobowych sprawiły, że mamy większą kontrolę nad naszymi danym w zasadzie na każdym etapie ich przetwarzania, a jednocześnie nie wymaga to od nas żadnych dodatkowych obowiązków. Sami mogliście to już odczuć – otrzymujemy mniej telefonów od natrętnych telemarketerów, na skrzynce ląduje mniej SPAMu… No może nie licząc przełomu maja i kwietnia, kiedy przeżyliśmy chyba jeden z większych ataków spamerskich na nasze skrzynki w ostatnich latach.
Sam się do tego solidnie przyczyniłem ale nie było innego wyjścia. Obowiązek informacyjny musiał być formalnie spełniony. Chwilowa nawałnica to w zasadzie jedyna uciążliwość związana z RODO jaką doświadczyliśmy jako konsumenci.
Co innego prowadząc własny biznes. Skuteczna analiza ryzyka, wdrożenie polityki prywatności, procedur dopasowanych pod indywidualne potrzeby danego biznesu, jest już sporym wyzwaniem. Zwłaszcza przy dużych organizacjach i dużych bazach danych. Wypracowanie określonych rozwiązań i procedur jest czasami równie trudne co zmiana samego podejścia. Potrzebne jest zrozumienie i analiza procesów firmowych i dopasowanie do nich konkretnych rozwiązań. Bez zgranego zespołu IT i prawnika może być ciężko…
RODO przynosi konkretne korzyści, choć łączy się też ze znaczącymi kosztami. Im większy biznes, tym większe koszty. Co ważne, samo wdrożenie nie załatwia sprawy. Dlatego właśnie wspomniałem, że potrzebna jest zmiana podejścia i wprowadzenie pewnych schematów na stałe. O czym trzeba pamiętać?
Po wdrożeniu RODO – porady dla firm
RODO to zmiany na stałe, a nie jednorazowe wdrożenie, czy tymczasowy „wybryk natury”. Po wdrożeniu RODO trzeba pamiętać o kilku istotnych kwestiach, które teraz postaram się Wam przybliżyć. To kilka praktycznych porad dla firm, które warto wdrożyć i pamiętać o nich planując działania.
Obowiązek informacyjny w firmie
Wspomniałem o fali spamu związanego z koniecznością wypełnienia obowiązku informacyjnego, pod koniec maja. Ale to nie znaczy, że na tym jednym mailu kończy się cała „zabawa”. Ten obowiązek ma zastosowanie również po wdrożeniu RODO. Administrator jest zobowiązany do informowania o każdym procesie, któremu poddane są dane osobowe. Ma też obowiązek informowania o wszelkiego rodzaju incydentach i zmianach w przetwarzaniu danych. Tak samo gdy dane osobowe zostaną udostępnione podmiotom trzecim – konieczne jest poinformowanie o tym fakcie osoby, których te dane dotyczą.
Dokumentacja ochrony danych w firmie
Po zakończeniu wdrożenia bardzo ważną kwestią jest odpowiednie ujęcie wszystkich zmian w dokumentacji i pilnowanie ich na bieżąco. To nie tylko stos papierów, który będzie kurzyć się w szafie. To swojego rodzaju zabezpieczenie i narzędzie, które ma pomóc w dalszych działaniach i pilnowaniu wypracowanych procedur. Dokumenty takie jak polityka bezpieczeństwa, rejestr przetwarzania danych, czy rejestry incydentów nie tylko pomagają utrzymać określone działania odo w ryzach, ale są wymagają prowadzenia na bieżąco również po wdrożeniu RODO.
Niszczenie dokumentacji firmowej
Skoro jesteśmy przy dokumentach, to równie ważne co ich bieżące prowadzenie, jest ich skuteczne niszczenie. Mam na myśli wszystkie dokumenty, które zawierają dane osobowe, na przykład naszych klientów. Złe zabezpieczenie dokumentów, nieodpowiednie ich niszczenie może doprowadzić do wycieku danych. Konieczne jest zadbanie o to, aby dokumenty były niszczone skutecznie. Czyli tak, aby nie było możliwości odczytania danych po ich zniszczeniu. Przedarcie kartki i wyrzucenie do koszta to w większości przypadków niewystarczająca metoda. Tu z pomocą przychodzą dobrze znane narzędzia, jak choćby niszczarka, a przede wszystkim pamięć i odpowiednie, odpowiedzialne podejście do tematu.
Rejestry naruszeń
To kolejny obowiązek, który zostaje z nami na stałe, po wdrożeniu RODO. Konieczne jest, aby odpowiednio dokumentować każdy incydent związany z przetwarzaniem danych osobowych. Do tego celu służy nam właśnie rejestr naruszeń, w którym administrator musi dokumentować okoliczności incydentu, skutki oraz konsekwencje naruszenia bezpieczeństwa danych i podjęte kroki zabezpieczające. Można powiedzieć, że rejestr naruszeń to nasza „podkładka” podczas kontroli organu nadzorczego. Musimy mieć możliwość udowodnić, że nasze działania były adekwatne i skuteczne.
Ochrona korespondencji elektronicznej
Nie każdy adres mailowy zawiera dane osobowe. Natomiast założę się, że większość Waszych partnerów, czy klientów posługuje się mailem zawierającym imię i nazwisko. Korespondencja elektroniczna, która zawiera dane osobowe, powinna być również odpowiednio zabezpieczona. Ważna jest też wzmożona czujność. Trzeba na przykład pamiętać, aby przy wysyłce mailowej do kilku niepowiązanych odbiorców ukrywać adresy.
Ochrona firmowych nośników danych
Zabezpieczenie nośników danych jest bardzo ważne. Dlaczego? Często znajdują się na nich dane wrażliwe, dane osobowe, które nie powinny trafić w nieuprawnione ręce. Sytuacje, w których zgubimy gdzieś pendrive’a zdarzają się przecież dość często. Musimy zadbać o to, aby zawarte w nim informacje były odpowiednio zabezpieczone, uwzględniając tego typu sytuacje awaryjne. Co ważne nośnikiem danych jest nie tylko popularny pendrive, czy dysk zewnętrzny. To często smartfony, wydruki, teczki firmowe – trzeba zatem podejść do tematu kompleksowo, a najlepiej wypracować konkretny schemat – na przykład zakaz używania prywatnych nośników danych, a jedynie firmowe, które posiadają odpowiednie zabezpieczenia.
Umowy powierzenia danych
Nie jest żadną tajemnicą, że coraz więcej firm korzysta z dobrodziejstw outsourcingu i usług innych firm. To może być współpraca z biurem rachunkowym, firmą z branży IT, agencją rekrutacyjną albo reklamową… To powszechne zjawisko. Przy tego rodzaju formie współpracy konieczna jest umowa powierzenia danych. Obowiązkiem administratora danych w firmie jest zabezpieczenie danych osobowych, również po zakończeniu danej współpracy, czyli zadbanie aby zostały zwrócone ze wszystkimi kopiami, lub trwale usunięte.
Zgody na przetwarzanie danych osobowych
Do przetwarzania danych potrzebna jest konkretna podstawa prawna, albo zgoda. Nie ma jednej określonej metody na uzyskiwanie zgód – to kwestia dowolna. Kluczowe jest natomiast aby posiadać dowód jej uzyskania. Po wdrożeniu RODO trzeba zatem pamiętać, że niektóre kwestie i działania zmieniły się już na dobre, a wcześniejsze rozwiązania mogą być już niewystarczające. Zwłaszcza, że przechowywać trzeba nie tylko same zgody, ale treści tych zgód.
Szkolenia pracowników
Po wdrożeniu RODO, tak jak wspomniałem, konieczna jest zmiana podejścia do danych osobowych w firmie. Ale nie dotyczy to tylko kadry zarządzającej, a wszystkich pracowników. Szczególnie istotne będzie to w przypadku osób, które pracują z danymi osobowymi klientów i są za nie odpowiedzialni. Odpowiednie szkolenia stają się w wielu przypadkach koniecznością, a nie tylko dobrą praktyką. Pracownicy muszą mieć określoną wiedzę ogólną, jak również bardziej szczegółową – ściśle dopasowaną pod ich konkretne obowiązki firmowe. Pamiętajcie, że ponosicie odpowiedzialność również za błędy swoich pracowników – dlatego tak ważne jest ich odpowiednie przeszkolenie i wdrożenie właściwych schematów.
Jak widzicie, działań i obowiązków związanych z ochroną danych osobowych jest całkiem sporo, również po samym wdrożeniu RODO, a nie tylko w trakcie. Oczywiście wspomniane przeze mnie kwestie nie wyczerpują tematu. Jeśli chcesz uniknąć stresu, wysokich kar i dobrze przygotować firmę do działalności w zgodzie z RODO (teraz i na przyszłość), zachęcam do skorzystania z pomocy specjalistów, którzy znają się na rzeczy.
Mam na myśli nasz zespół WBT-IT, który dysponuje odpowiednim doświadczeniem, wiedzą i praktycznymi rozwiązaniami, które sprawdzają się w środowisku biznesowym. Z sukcesem przeprowadziliśmy już szereg wdrożeń, na bieżąco udzielamy też pomocy i wsparcia w formie konsultacji, przejmujemy rolę IOD, przeprowadzamy szkolenia i projektujemy rozwiązania IT „szyte na miarę”. A wszystko w dobrej atmosferze i na uczciwych warunkach.
Zapraszam do współpracy i skorzystania z usług informatycznych WBT-IT, nie tylko przy okazji RODO 😉
Najnowsze komentarze