RODO nie jest jednorazowym wybrykiem natury. Wprowadza dla wszystkich zmiany na stałe – zarówno natury organizacyjnej, prawnej, ale też mentalnej. Dziś podpowiemy, o czym trzeba pamiętać po wdrożeniu RODO i jakie obszary w firmie będą wymagać szczególnej uwagi.
Po wdrożeniu RODO – co dalej?
Pamiętacie nasz wpis: 10 mitów o RODO? Wspomnieliśmy wtedy, że jednym z mitów i podstawowych błędów jest podejście do nowych przepisów na zasadzie: wdrożyć i zapomnieć. Tymczasem jest to dopiero początek. Po wdrożeniu RODO pojawia się szereg istotnych kwestii i działań, o których trzeba pamiętać i o które trzeba odpowiednio zadbać. Dziś podpowiemy Wam kilka z nich.
RODO i obowiązek informacyjny
Administrator jest zobowiązany do informowania o każdym procesie, któremu poddane są dane osobowe klientów. To nie był tylko jednorazowy obowiązek związany z wysłaniem maila w maju. Administrator (ADO) musi informować o wszelkiego rodzaju incydentach i zmianach w przetwarzaniu danych. Osobom, których dane przetwarzamy przysługuje też prawo do pełnego wglądu w proces przetwarzania, a ADO musi to prawo spełnić każdorazowo. Co więcej, po każdej zmianie w przetwarzaniu danych osobowych np. udostępnienie ich podmiotom trzecim, może pojawić się konieczność poinformowania o tym fakcie osoby, których dane dotyczą. Oczywiście jeśli udzielona wcześniej zgoda obejmuje taki zakres przetwarzania, taka konieczności nie będzie występować. Natomiast podmiot który takie dane otrzyma i będzie je wykorzystywał do własnych celów, powinien spełnić obowiązek informacyjny z art. 14 RODO. To tylko przykładowa sytuacja, jednak dobitnie pokazuje jak ważne po wdrożeniu RODO będzie odpowiedzialne podejście do obowiązku informacyjnego.
RODO i dokumentacja
Po wdrożeniu RODO, istotną kwestią jest ujęcie wszystkich zmian i działań w dokumentacji. To nie tylko stos dokumentów, który będzie zalegać w szufladzie. To pewnego rodzaju zabezpieczenie i narzędzie, które będzie pomocne w dalszych działaniach. Jak również przy analizie i kontroli tych działań. Dokumenty takie jak polityka bezpieczeństwa, rejestr przetwarzania danych, czy rejestry incydentów nie tylko pomagają spełniać prawne wymogi RODO, mają też znaczenie organizacyjne.
Ważne jest odpowiednie prowadzenie dokumentacji, ale też jej skuteczne niszczenie. Brak zabezpieczenia dokumentów, nieskuteczne niszczenie może doprowadzić do wycieku danych. Czasami zwykłe przedarcie dokumentu z danymi i wyrzucenie do kosza nie jest wystarczające. Trzeba o tym pamiętać zwłaszcza po wdrożeniu RODO, w wirze codziennych spraw i obowiązków.
RODO i rejestr naruszeń
To kolejny obowiązek, który zostaje z nami już na stałe po wdrożeniu RODO. Nowe przepisy wskazują na konieczność dokumentowania każdego incydentu związanego z przetwarzaniem danych. Rejestr naruszeń prowadzony przez administratora musi zawierać okoliczności incydentu, jego konsekwencje i podjęte działania zabezpieczające. W trakcie ewentualnej kontroli musimy mieć możliwość udowodnić, że zrobiliśmy wszystko co możliwe i konieczne, aby naprawić sytuację i uniknąć jej na przyszłość.
RODO i zgody na przetwarzanie
Do przetwarzania danych potrzebna jest konkretna podstawa prawna, albo zgoda. RODO nie narzuca tu konkretnej formy i metody na uzyskanie takiej zgody. Ważne jest, aby posiadać dowód jej uzyskania i jej treść. Czasami zwykłe zaznaczenie zgody nie jest wystarczające. W razie potrzeby powinniśmy udowodnić, że osoba, która taką zgodę wyraziła, otrzymała od nas niezbędne informacje dodatkowe. W tym również te, dotyczące jej praw, sposobu i celu przetwarzania danych itd. Po wdrożeniu RODO warto zatem pamiętać, aby przechowywać wszystkie zgody naszych klientów w jednym miejscu, razem z ich dokładną treścią.
RODO i poczta elektroniczna
Korespondencja mailowa, która zawiera dane osobowe, musi być odpowiednio zabezpieczona. Najlepiej jeśli będzie w formie zaszyfrowanego pliku, do którego hasło przesłane zostanie innym kanałem komunikacyjnym. Trzeba być czujnym i co ważne, dodatkowo uczulić pracowników w firmie. Dla nich RODO również będzie oznaczało szereg zmian w zachowaniu i podejściu do codziennych czynności.
Przy wysyłce mailowej do kilku niepowiązanych odbiorców, ukrycie adresów mailowych będzie obowiązkiem, a nie mało istotnym detalem. Może też lepiej będzie zrezygnować z systemowego podpowiadania adresu e-mail, aby uniknąć ryzyka pomyłki? Takich przykładów można mnożyć, nie tylko w kontekście poczty firmowej i korespondencji mailowej. Dlatego kolejnym działaniem istotnym po wdrożeniu RODO będą na pewno szkolenia.
RODO i szkolenia
RODO wymusza zmianę podejścia do przetwarzania danych osobowych nie tylko właścicieli firm, ale też pracowników. Często to właśnie oni bezpośrednio pracują na danych i je przetwarzają. To rodzi konieczność odpowiedniego przygotowania ich do tej roli. Chodzi nie tylko o suchą informację, ale też wypracowanie pewnych schematów i zasad w określonym środowisku pracy. Dlatego po wdrożeniu RODO warto pomyśleć o szkoleniach dla pracowników. Pracownicy muszą mieć aktualną wiedzę. Nie tylko ogólne pojęcie, ale konkretny plan działania w odniesieniu do ich obowiązków i roli w firmie. Szkolenia podnoszą świadomość i pomagają uniknąć najczęściej popełnianych błędów, które mogą narazić firmę na straty zarówno finansowe jak również wizerunkowe.
RODO i nośniki danych
Dane musimy chronić nie tylko w sieci. Nie można zapominać o fizycznych nośnikach. Często znajdują się na nich informacje, w tym dane wrażliwe, które trzeba zabezpieczyć. Chyba w każdej firmie zdarzają się czasem sytuacje, w których ktoś gubi pendrive’a. A przecież nośnikiem danych jest nie tylko popularna pestka, ale też wszelkie dyski zewnętrzne, telefony komórkowe, wydruki dokumentów. Trzeba podejść do tematu odpowiedzialnie i kompleksowo, wypracować działania obejmujące zabezpieczenie wszystkich nośników w firmie. Może warto będzie na przykład wprowadzić zakaz korzystania z prywatnych nośników danych, a jedynie z firmowych, które przed tym odpowiednio zabezpieczymy?
RODO i powierzanie danych
Outsourcing staje się coraz bardziej popularny. Firmy na tej zasadzie często współpracują z biurem rachunkowym, agencją rekrutacyjną, reklamową, z kancelarią prawną. Może to też być outsourcing IT i usługi informatyczne firmy zewnętrznej, jak w przypadku WBT-IT i naszych klientów. Przy tej formie współpracy konieczna jest umowa powierzenia danych. Można powiedzieć, że będzie konieczna, w przypadku każdej nowej współpracy, w ramach której dochodzi do przetwarzania danych. Podmiot, któremu ADO powierzył dane osobowe, też musi je odpowiednio zabezpieczyć. Za wszystkie incydenty i uchybienia ponosi odpowiedzialność na tej samej zasadzie co administrator.
Wdrożenie RODO to proces, który wymaga stałej opieki, dobrej organizacji i konkretnych działań długofalowych. Wspomnieliśmy o kilku podstawowych kwestiach, ale może się okazać, że w Waszym przypadku tych tematów będzie więcej. Jeżeli chcecie uniknąć widma wysokich kar za niedostosowanie się do nowych przepisów w ochronie danych osobowych – przygotujcie solidnie firmę do funkcjonowania w nowej rzeczywistości RODO.
Jako WBT-IT z powodzeniem pomagamy w tym naszym partnerom. Przeprowadziliśmy już szereg udanych wdrożeń RODO dla firm, wiemy jak ważne jest kompleksowe podejście, znajomość danej branży i dokładne zrozumienie indywidualnych procesów firmowych oraz potrzeb. Mamy stosowne rozwiązania, odpowiednie podejście, wiemy jak stworzyć skuteczną politykę bezpieczeństwa, jakie schematy sprawdzają się w praktyce, możemy też przeszkolić kadrę. Najlepiej jeśli po prostu skontaktujecie się z nami i porozmawiamy o szczegółach.
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.ZgodaPolityka prywatności
