Nie wystarczy raz wdrożyć RODO

Wdrożenie RODO to nie jest czynność jednorazowa. Nie wystarczy raz zająć się tematem, by potem móc o nim zapomnieć i nigdy do niego nie wracać. Wręcz odwrotnie, ochrona danych osobowych to zagadnienie, które wymaga stałej uwagi. Dlaczego? Tłumaczę to w dzisiejszym artykule, któremu towarzyszy również kolejny odcinek podcastu.

Spis treści

Podcast

Poniżej widzisz odtwarzacz, dzięki któremu możesz odsłuchać podcast bezpośrednio z tej strony.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Przedsiębiorcom zadań nigdy nie brakuje

Ograniczony czas to największe wyzwanie, z jakim wszyscy mierzymy się na co dzień. Doba ma tylko dwadzieścia cztery godziny i każdego dnia stajemy przed wyborem, którym tematom poświęcić swoją uwagę.

Przedsiębiorcy nigdy nie narzekają na nudę. Codziennych wyzwań i aktywności nie brakuje. Obsługa klienta, marketing, ulepszanie swoich produktów lub usług, czynności techniczne i organizacyjne – to tylko niektóre z zadań, na które musimy znaleźć czas. Piszę „my”, bo przecież sam jestem przedsiębiorcą i doskonale zdaję sobie sprawę z intensywności prowadzonego w ten sposób życia zawodowego.

Przedsiębiorcy nie narzekają na nudę
Każdego prędzej czy później dopada stan, gdy chciałby po prostu błogo zasnąć i nie robić nic.
Zdjęcie autorstwa Aleksandar Cvetanović pobrane z serwisu pexels.com.

Pośród wszystkich obowiązków, kwestie prawne nie należą, delikatnie mówiąc, do tych najbardziej atrakcyjnych. Podejście w tym zakresie sprowadza się najczęściej do studenckiej techniki 3 x Z, czyli zakuj-zdaj-zapomnij. Niestety w kontekście ochrony danych osobowych taka filozofia jest z góry skazana na niepowodzenie.

RODO wymaga ciągłej uwagi

Temat RODO nie jest czymś, co można załatwić jednorazowo. To, że raz wdrożymy jakiś system ochrony danych osobowych, choćby najlepszy i idealnie dopasowany do naszej organizacji, nie oznacza, że ten system będzie sprawdzał się dożywotnio.

W każdej firmie zachodzą jakieś zmiany, np.:

  • przychodzą nowi pracownicy,
  • ulega zmianie zakres obowiązków,
  • pojawiają się nowi dostawcy, podwykonawcy,
  • zmienia się oprogramowanie wykorzystywane w pracy,
  • następują przenosiny do nowej siedziby,
  • wprowadzany jest model pracy zdalnej,
  • wdrażane są nowe kanały komunikacji marketingowej.

Tego rodzaju przeobrażenia, jak również wszelkie inne, wiążą się niemal zawsze z koniecznością podjęcia określonych kroków w zakresie ochrony danych osobowych:

  • nowi pracownicy muszą zostać upoważnieni do przetwarzania danych,
  • zmiana zakresu obowiązków musi mieć przełożenie na zakres dostępu do danych,
  • podwykonawców trzeba odpowiednio zaudytować i zawrzeć umowy powierzenia,
  • oprogramowanie musi zostać odpowiednio zabezpieczone,
  • w nowej siedzibie konieczne jest wprowadzenie odpowiednich środków bezpieczeństwa,
  • praca zdalna wymaga wypracowania nowych procedur bezpieczeństwa,
  • nowe kanały komunikacji marketingowej wymagają weryfikacji pod kątem przepływu danych.

Raz, że w związku ze zmianami, trzeba podjąć odpowiednie działania faktyczne, to należy jeszcze zmodyfikować dotychczasową dokumentację ochrony danych osobowych, by uwzględniała wszelkie zmiany i nowości.

Monitoring wizyjny a RODO

Być może twoje zmiany związane z RODO powinny dotyczyć monitoringu wizyjnego? Na temat tego zagadnienia przygotowałem odrębny materiał. Możesz zapoznać się z nim tutaj: Monitoring wizyjny zgodny z RODO – jak to zrobić?. Nieodpłatnym dodatkiem do artykułu jest wzór dokumentu z obowiązkiem informacyjnym.

Aktualizacja dokumentacji

Przedsiębiorcy chcieliby dostać gotową dokumentację ochrony danych osobowych, zamknąć w szafie i mieć święty spokój. Nie jest to jednak takie proste.

Po pierwsze, dokumentacja to tylko papier, który przyjmie wszystko. Żeby dokumentacja miała sens, musi jej towarzyszyć wdrożenie rzeczywistych procedur postępowania z danymi osobowymi. Najpierw procedury, a dopiero potem dokumentacja, w której przyjęte rozwiązania zostaną opisane.

Papier przyjmie wszystko
Papier przyjmie wszystko, ale nie o to chodzi. Zdjęcie autorstwa Sam Johnson pobrane z serwisu pexels.com.

Po drugie, dokumentacja musi podlegać regularnym przeglądom pod kątem jej aktualności. Uważam, że przynajmniej raz w roku powinniśmy zaplanować weryfikację posiadanych dokumentów.

Ponadto, gdy w ramach naszej organizacji dochodzi do zmian mających wpływ na system ochrony danych osobowych, dokumentacja powinna być aktualizowana na bieżąco, bez odwlekania tego do zaplanowanego przeglądu.

Biorąc pod uwagę zasadę rozliczalności wynikającą z RODO, każdy przegląd i aktualizacja powinny być raportowane. Chodzi o to, byśmy byli w stanie wykazać, że podjęliśmy określone działania.

Po to zresztą w ogóle funkcjonuje dokumentacja ODO. Żeby móc rozliczyć się z tego, co w związku z ochroną danych osobowych zadziało się w naszej organizacji.

Kluczowe dokumenty

Dokumentacja ochrony danych osobowych może być mniej lub bardziej rozbudowana. Jeżeli chodzi jednak o dokumenty, na które szczególnie należy zwrócić uwagę przy przeglądach i aktualizacjach, to wskazałbym na następujące:

  • polityka ochrony danych osobowych,
  • rejestr czynności przetwarzania,
  • analiza ryzyka.

Polityka ochrony danych osobowych to swoista mapa przyjętego w danej organizacji systemu ochrony danych osobowych. Można powiedzieć, że to taki zbiór wszystkich kluczowych zasad i procedur związanych z ochroną danych osobowych. Oczywistym jest zatem, że wszelkie zmiany w zakresie tych zasad i procedur muszą mieć przełożenie na politykę.

Polityka ochrony danych osobowych jak mapa
Mapy są po to, by lepiej orientować się w terenie. To samo dotyczy polityki ochrony danych osobowych. Zdjęcie autorstwa rawpixel.com pobrane z serwisu pexels.com.

Rejestr czynności przetwarzania to zestawienie wszystkich procesów, operacji z wykorzystaniem danych osobowych. Jeżeli dochodzi nam jakiś nowy cel przetwarzania, musimy go uwzględnić w rejestrze.

Biorąc jednak pod uwagę informacje zawarte w tym dokumencie, zmiany niekoniecznie muszą dotyczyć samych celów przetwarzania. Często zmieniać będą się po prostu szczegóły przetwarzania w ramach uprzednio zidentyfikowanych celów.

Jeżeli chodzi o analizę ryzyka, dokument w tym zakresie jest odzwierciedleniem przeprowadzonego procesu mającego na celu zdiagnozowanie zagrożeń dla bezpieczeństwa danych osobowych oraz wybór środków mających na celu zminimalizowanie tych zagrożeń.

Analiza ryzyka prowadzona jest w ramach ustalonego kontekstu przetwarzania danych. Jeżeli dochodzi do jakiś zmian w zakresie tego kontekstu (np. nowe oprogramowanie, dodatkowy zakres danych, pojawienie się danych wrażliwych, wprowadzenie pracy zdalnej), to „przemyślenia” ujęte w analizie ryzyka również mogą się zmienić.

Pamiętajmy również, że ryzyko powinno być tak naprawdę monitorowane w trybie ciągłym. Wszystko to, co dzieje się w naszej firmie, powinno być analizowane również pod kątem zagrożeń dla bezpieczeństwa danych osobowych.

Pomoc z danymi osobowymi

Jeżeli potrzebujesz indywidualnej pomocy w zakresie ochrony danych osobowych, wyślij wiadomość na adres kontakt@wojciechwawrzak.pl.

Oferuję również gotowy pakiet RODO przeznaczony do samodzielnego wdrożenia ochrony danych osobowych w swojej firmie.

To rozwiązanie dla tych, którzy z jakiś względów nie chcą lub po prostu nie mogą sobie pozwolić na skorzystanie z indywidualnej obsługi.

Podsumowanie

Wdrożenie RODO to nie jest czynność jednorazowa. Celowo powtarzam to zdanie z samego początku artykułu. Stanowi ono najlepsze podsumowanie tego, co chciałem ci dzisiaj przekazać.

Ochronę danych osobowych musisz mieć zawsze z tyłu głowy. Raz wdrożone procedury nie są wieczne i dezaktualizują się tak samo jak wszystko inne dookoła.

Tak długo jak prowadzisz działalność, tak długo od ochrony danych osobowych nie uciekniesz. Ba, czasem nawet po zakończeniu działalności z danymi osobowymi będziesz mieć nadal do czynienia, choćby w zakresie dokumentacji pracowniczej, której obowiązkowy termin przechowywania może przypaść po zamknięciu biznesu.

Bonus: praktyczne opracowanie

Dodatkiem do tego artykułu jest opracowanie poświęcone najczęściej występującym naruszeniom ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Prakreacja.pl

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.