Sześć kroków do wdrożenia RODO

Na wdrożenie zapisów RODO pozostało nam niewiele ponad 300 dni roboczych: jeśli chcemy zdążyć, musimy zmienić nasze podejście do ochrony danych osobowych i zbudować świadomość w firmie.

Z naszej obserwacji struktur firm wynika, że obecnie w wielu przypadkach, zagadnieniami ochrony danych osobowych zajmuje się administrator bezpieczeństwa informacji (ABI) albo oddelegowana osoba w departamencie IT, bezpieczeństwa bądź prawnym. Pod rządami RODO do ochrony danych osobowych należy zaangażować całą firmę i wszystkich pracowników, którzy w ramach swoich służbowych obowiązków przetwarzają dane osobowe. Biorąc pod uwagę liczbę i stopień skomplikowania procesów biznesowych w firmach, podczas których przetwarzane są dane osobowe, trudno wyobrazić sobie, by jedna osoba monitorowała je wszystkie. By być w zgodzie z wymaganiami nowego rozporządzania, w te działania powinna zostać zaangażowana cała firma a pracownicy powinni mieć świadomość ogromnego znaczenia ochrony danych osobowych.

Następnym krokiem jest zbudowanie zespołu. W średniej wielkości firmie będą to reprezentanci obszarów takich jak: HR, obsługa klienta i marketing, dział prawny, dział IT i bezpieczeństwa. W zależności od specyfiki i poziomu dojrzałości firmy, zespół projektowy może być oczywiście większy, angażujący przedstawicieli innych obszarów. 

Po obudzeniu świadomości i zbudowaniu zespołu kolejnym zadaniem jest znalezienie sponsora, czyli właściciela tematu, ponieważ czekają nas duże zmiany w firmie, które mogą wiązać się z wydatkami. Do prawidłowego przeprowadzenia projektu niezbędny będzie także budżet. Może się okazać, że będziemy musieli przeprowadzić modyfikacje w systemach informatycznych a może również zatrudnić osobę, która pokieruje projektem wdrożenia RODO i będzie koordynować działania interdyscyplinarnego zespołu.

Pierwszym zadaniem, które zostanie postawione przed zespołem będzie poznanie procesów biznesowych, które mają miejsce w firmie, oraz inwentaryzacja posiadanych przez nią danych. Zadanie to należy rozpocząć od analizy procesów biznesowych, ponieważ to właśnie one zawierają dużą ilość danych osobowych. Należy tutaj zaznaczyć, że w firmie przechowywane są nie tylko dane klientów, ale również dane pracowników. W ramach firmy należy, więc pokusić się o stworzenie mapy przepływów danych i informacji, jakie operacje są na tych danych wykonywane. Kolejnym krokiem będzie inwentaryzacja posiadanych danych. Jeżeli nie uda nam się uzyskać pełnego obrazu o danych osobowych, które znajdują się w organizacji, może się okazać, że wszystkie kolejne kroki, które są podejmowane w celu wdrożenia rozporządzenia, będą niekompletne właśnie dlatego, że nie zostały odnalezione wszystkie dane osobowe przetwarzane przez firmę. 

Po inwentaryzacji należy przystąpić do ustalenia luk, które są w firmie w kontekście zarządzania danymi osobowymi. Jest to niezwykle istotny krok, pokazujący jak w firmie podchodzi się do zagadnienia ochrona danych osobowych. Jest to sposób na zrozumienie gdzie są ryzyka związane z przestrzeganiem zasad ochrony danych i jakie działania będą musiały być podjęte, aby spełnić wymagania wynikające z przepisów RODO. 

Wynik analizy luk pozwoli na przygotowanie planu wdrożenia RODO w organizacji.

Na wdrożenie wymagań RODO mamy czas do 25 maja 2018 r. Do tego terminu należy zaplanować oraz wykonać działania z zakresu szkoleń pracowników, dostosowania procedur i procesów w firmie czy dostosowania posiadanych systemów informatycznych do nowych wymagań. Co więcej, jednym z celów RODO jest „wszycie” zasad danych osobowych w strukturę i procedury firmy: projekt RODO nie jest więc działaniem jednorazowym, tylko czynnością, którą należy płynnie kontynuować, monitorować i dbać o to, żeby wszyscy pracownicy mieli świadomość, że każdego dnia wykonując swoją pracę przetwarzają dane osobowe i to od nich zależy czy firma będzie mogła dalej prowadzić swoją działalność z wykorzystaniem takich danych.