Aby postanowienia RODO zostały poprawnie zaimplementowane w firmie, najlepiej postępować według poniższego schematu starając się być szczegółowym i uczciwym wobec własnej firmy i jej zasobów. Należy opierać się na faktycznych informacjach i wystrzegać wyciągania przypuszczeń niepopartych rzetelnymi informacjami. Droga na skróty spowoduje tylko stratę czasu a cały proces będzie trzeba powtórzyć ponownie.
1. Zidentyfikuj procesy przetwarzania danych osobowych w twojej firmie
Proces przetwarzania danych osobowych będą to czynności, jakie wykonuje przedsiębiorca (lub inny podmiot przetwarzający dane) w pozyskiwaniu i przetwarzaniu danych osobowych aż do ich usunięcia bez względu na to czy jest to wola wewnętrzna firmy, czy też żądanie właściciela danych osobowych (czyli twoje drogi kliencie). Jako szef firmy, kierownik czy osoba wyznaczona przez administratora do przetwarzania danych, postaraj się zidentyfikować całą tą ścieżkę i scharakteryzować każdy jej punkt. Opisz wszystko w sposób jasny i przejrzysty w najdrobniejszych detalach.
Jeśli prowadzisz sklep internetowy, wspomnianą ścieżką będzie proces zakupu produktu oraz jego dostarczenie klientowi. Zdarza się, że sklep oferuje również inne usługi, które również powinny zostać wyszczególnione jako osobne procesy i dokładnie opisane. Sklep może prowadzić serwis naprawczy, usługi związane z handlem materiałami cyfrowymi, wypożyczalnie. W każdej z tych kategorii będą pozyskiwane dane wrażliwe (osobowe) ale niekoniecznie w takiej samej ilości.
Należy również zidentyfikować wszystkie podmioty, którym powierza się dane klientów. Będą to przykładowo administratorzy / właściciele firm hostingowych, którzy mają dostęp do kont swoich klientów i widzą np. listę skrzynek mailowych lub poszczególne rekordy bazy danych zapełnione danymi osobowymi jakie są wymagane do założenia konta na sklepie internetowym. Księgowość będzie równie częściej spotykanym procesem powierzenia danych. Małe firmy zazwyczaj zlecają obsługę podatkowo innym podmiotom specjalizującą się w tym zakresie.
2. Zweryfikuj parametry procesów przetwarzania danych osobowych
Bardzo ważne jest abyś pamiętał, że zgody na przetwarzanie danych zebrane przed wejściem w życie RODO tj. 25 maj 2018 r. były zbierane na mocy innych aktów prawnych. RODO obowiązuje od niedawna i jest obecnie najważniejszym aktem prawnym odnoszącym się do ochrony danych osobowych jaki obowiązuje w Unii Europejskiej.
Zgody zebrane we wcześniejszym okresie nie tracą swojej mocy ale trzeba upewnić się czy nie naruszają przepisów RODO. Jeśli zgoda była zebrana w sposób niezgodny z RODO należy powtórzyć proces jej uzyskania. RODO nakazuje aby każda taka zgoda była weryfikowalna i aby przedsiębiorca mógł wykazać, że faktycznie ją uzyskał.
Oficjalne stanowisko GIODO odnośnie wcześniej zebranych zgód jest tutaj.
W skrócie:
„Zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak by zapewnić osobom wyrażającym zgodę swobodę wyboru. ”
GIODO
Każdy proces przetwarzania, o którym była mowa w punkcie 1, powinien mieć określoną podstawę przetwarzania danych osobowych zgodną oczywiście z RODO. Weź pod uwagę także zasadę minimalizacji i sprawdź zakres przetwarzania danych. Im mniej ich pozyskujesz tym lepiej dla ciebie przedsiębiorco. Upewnij się czy w sposób jasny i zrozumiały informujesz o pozyskiwaniu danych osobowych swoich interesantów oraz jakie prawa im przysługują.
3. Podejście oparte na ryzyku – wdrożenie
Po zidentyfikowaniu procesów przetwarzania danych osobowych w firmie, mamy wiedzę gdzie mogą wystąpić zagrożenia związane z ich naruszeniem. Jest to oczywiście dość optymistyczne stwierdzenie bo istnieje wiele możliwości wycieku danych i wiele sposobów na złamanie zabezpieczeń systemów jej obsługujących. Nie będę się w tym miejscu w to zagłębiał dlatego pozostanę przy RODO. A więc zidentyfikowaliśmy proces; teraz musimy ocenić ryzyko jakie niesie on dla przetwarzania danych. Są to w gruncie rzeczy sprawy techniczne i bez znajomości choćby podstawowych zagadnień związanych z bezpieczeństwem systemów operacyjnych oraz sieci internet i lokalnej, nie będziemy w stanie zanalizować ryzyka. Tak więc w tym miejscu opracowanie tego punktu zalecam przedłożyć w ręce informatyka lub innej osoby technicznej odpowiedzialnej za stan bezpieczeństwa IT.
Istotne dla podejścia opartego na ryzyku jest jego ciągła analiza i dostosowywanie technicznej i programowej infrastruktury do zmian jakie zachodzą w trakcie ewolucji technologii. Nie wystarczy zanalizować ryzyko tylko raz. Jest to ciągły nieustanny proces połączony ze śledzeniem najnowszych trendów, szkoleniem technicznym, testowaniem infrastruktury IT i wyszukiwaniem podatności bezpieczeństwa.
4. Procedura oceny skutków dla ochrony danych
Ocena skutków dla ochrony danych osobowych zbieranych po 25 maja 2018 r. jest obowiązkowa. Jednak warto przeprowadzić tą czynność również dla tych procesów zbierania danych, które zostały uruchomione i działają przed 25 maja. Nie jest to obowiązek, ale może się nim stać w przypadku zmiany poziomu ryzyka związanego z przetwarzaniem danych.
5. Powierzenie przetwarzania danych
Powierzenie przetwarzania danych również musi zostać w pełni zidentyfikowane i opisane. W tym miejscu skupiamy się na tym komu przekazujemy dane naszych klientów lub inne wrażliwe i opisujemy to w sposób szczegółowy. Wszelkie zmiany nanosimy niezwłocznie oraz wprowadzamy odpowiednie działania informacyjne dla naszych klientów.