Mapa drogowa #ROADtoRODO Przystanek 9

Cyprian Gutkowski

Od maja 2018 r. zacznie obowiązywać RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Rozporządzenie to znacznie poszerza obowiązki podmiotów przetwarzających dane osobowe, na ewentualne naruszenia natomiast wprowadza kary finansowe. Aby ułatwić przedsiębiorcom tę niełatwą drogę przygotowań do wdrożenia RODO Fundacja Bezpieczna Cyberprzestrzeń rozpoczęła projekt #ROADtoRODO.

Zapraszamy w naszą podróż #ROADtoRODO  (INFOGRAFIKA). Przystanek nr 9. Zachęcamy do śledzenia kolejnych odcinków (poprzednie przystanki).

 

 

 

Wdrożenie procedur i rekomendacji

Kolejnym etapem podróży na naszej mapie #ROADtoRODO, jest znak „Wdrożenie procedur i rekomendacji”. Nie będzie to najdłużej opisany znak na naszej drodze, ale bardzo istotny z biznesowego punktu widzenia. Cóż takiego ukryliśmy pod tym znakiem?

W swojej dotychczasowej przygodzie z RODO, dokonaliśmy już inwentaryzacji, zmapowania procesów i audytu wstępnego. Dodatkowo przygotowaliśmy odpowiednie dokumenty, takie jak wzory zgód na przetwarzanie danych, inne dokumenty organizacyjne (rejestr przetwarzania, polityka bezpieczeństwa i inne procedury). Dotarliśmy więc do momentu gdy trzeba wcielić w życie nasze rozwiązania.

Jak to zrobić?

Najlepiej zrobić to w taki sposób, by część procesów przetwarzania, może na początek tych odrobinę mniej istotnych dla funkcjonowania firmy, przeprowadzać już zgodnie z nowymi wytycznymi. Jeśli uważamy, że wszystkie procesy, podczas których dochodzi do przetwarzania danych są bardzo istotne (co może a nawet powinno być dość częste), to proponujemy przeprowadzać je równolegle, tak by sprawdzić, czy spełniamy fundamentalną zasadę rozliczalności. Rozliczalności – czyli najogólniej mówiąc, możliwości wykazania zgodności naszych działań z rozporządzeniem i przestrzegania przez nas przepisów RODO. Należy podkreślić wyraźnie, że nie wystarczy dostosowanie polityk i procedur przetwarzania danych, trzeba dodatkowo przygotować się do stosowania takich środków technicznych, technologicznych i organizacyjnych, które zapewniają właściwy stopień bezpieczeństwa, odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (szacowanie ryzyka również już na naszej mapie drogowej mieliśmy). Wszystkie wypracowane przez nas procedury, należy wcielić w życie i sprawdzić czy działają nie paraliżując procesów biznesowych, oraz czy w przypadku naruszenia, będziemy w stanie wykazać, że we właściwy sposób spełniliśmy obowiązki administratora danych osobowych.

Po co to robić?

Wykonanie powyższych czynności sprawdzających pozwoli nam na identyfikację problemów, jakie będą mogły nas spotkać, już po rozpoczęciu obowiązywania rozporządzenia, ale jeszcze w środowisku kontrolowanym. Chodzi o to, by można było ewentualnie przemodelować wszelkie procesy związane z ochroną danych w przypadku ich konfliktu z innymi procesami biznesowymi.

Pozostaje mi życzyć powodzenia i jak najmniejszej ilości korekt.

 

 

Share Button