6 kroków, które możesz zrobić dzisiaj aby przygotować się do GDPR/RODO
Już 25 maja 2018 roku wchodzi w życie RODO (GDPR) – unijne rozporządzenie dotyczące ochrony danych osobowych. Zapewnienie bezpieczeństwa danych według nowych unijnych przepisów powinno być priorytetem przedsiębiorców, gdyż niedostosowanie się do zmian skutkować może wysokimi karami finansowymi. Może zatem warto zastanowić się, co zrobić już dziś, aby nowe przepisy nie okazały się paraliżujące.
Oto 6 rzeczy które można zrobić już dziś, aby przygotować się na GDPR.
1. GDPR / RODO – poznaj szczegóły nowych regulacji
Każdy, kto przetwarza dane w organizacji, powinien przede wszystkim wiedzieć czym jest GDPR. Ważne jest aby wszyscy pracownicy przetwarzający dane wiedzieli o czekających ich zmianach i o tym, że zmiany te będą miały związek z ich pracą. Nowe regulacje bowiem dotyczyć będą wszystkich: od szeregowych pracowników po właścicieli i managerów. Pomocne są szkolenia pracowników, które pozwolą zapoznać się z głównymi zmianami płynącymi z wprowadzenia GDPR / RODO oraz ich praktycznymi implikacjami w kontekście przetwarzania0 ,danych osobowych przez organizacje.Wiedza jest na pewno lepsza od domysłów.
2. Przeprowadź audyt zgodności ochrony danych osobowych
Audyt zgodności pomoże sprawdzić jak odbywa się przetwarzanie danych osobowych w organizacji. Raport z audytu wykaże także ewentualne uchybienia i wskaże kierunki działań, które pomogą w osiągnięciu zgodności z RODO.Upewnij się, że sposób w jaki Twoje przedsiębiorstwo gromadzi, pozyskuje i wykorzystuje dane oraz czy sposób ich utrwalania pozostaje w zgodzie z tymi nowymi regulacjami.Zmiany obejmują między innymi sposób wyrażania zgody na przetwarzanie danych osobowych klientów i zakres tego przetwarzania.
3. Wyznacz inspektora danych osobowych
Zgodnie z artykułem 37 GDPR wszystkie podmioty publiczne za wyjątkiem sądów oraz organizacje i firmy, których działalność polega na przetwarzaniu danych, które ze względu na swój charakter wymagają regularnego monitorowania osób których dane dotyczą na dużą skalę lub przetwarzają na dużą skalę szczególne kategorie danych mają obowiązek wyznaczenia osoby na stanowisko Inspektora Ochrony Danych Osobowych. Termin „na dużą skalę” jest dość niejasny. Należy pamiętać aby przeprowadzić analizę i upewnić się co do konieczności wyznaczenia inspektora danych osobowych. Brak analizy/audytu w tym zakresie na pewno nie będzie stanowić okoliczności łagodzącej w przypadku incydentu bezpieczeństwa.
4. Przygotuj się na najgorsze – plan dla naruszeń ochrony danych osobowych
Zgodnie z przepisami GDPR każde naruszenie ochrony danych osobowych musi być zgłoszone odpowiednim organom nadzorczym w terminie 72 godzin od zidentyfikowania incydentu chyba, że jest mało prawdopodobne, by to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Obowiązek notyfikacji naruszeń będzie spoczywał na każdym administratorze danych osobowych. W praktyce może to oznaczać, że każdy incydent mający miejsce w systemie przetwarzającym dane osobowe powinien zostać zgłoszony – któż bowiem określi jednoznacznie stopień ryzyka w przypadku naruszenia ?Czy masz już scenariusz zarządzania kryzysowego na taką okoliczność ?
5. Dokonaj oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA)
Oceny skutków dla ochrony danych osobowych dokonujemy w przypadku wysokiego ryzyka naruszenia praw i wolności osób fizycznych, a obowiązek ten spoczywa na administratorze danych osobowych.Procedura ta określa ryzyka związane z bezpieczeństwem oraz integralnością danych osobowych przetwarzanych lub gromadzonych przez Twoją organi-zację oraz wpływem incydentu bezpieczeństwa na prawa i wolności osób fizycznych, których te dane dotyczą. Prawidłowa analiza w zakresie DPIA pozwoli uniknąć dotkliwych kar zwią-zanych z brakiem dbałości o prawidłowy proces przetwarzania danych oso-bowych.
6. Współdziałaj aktywnie z dostawcami technologii IT
Współpraca z podmiotami, których nowoczesne technologie są wsparciem dla Twojej strategii zarządzania bezpieczeństwem informacji może być kluczowa dla zapewnienia zgodnego z wytycznymi RODO procesu przetwarzania danych osobowych i należytego poziomu bezpieczeństwa danych, które przetwarzasz.
⊗
Z dniem 25 maja 2018 odpowiedzialność organizacji z tytułu incydentów bezpieczeństwa stanie się niewspółmiernie wysoka względem stanu obecnego.Co więcej, nowe regulacje prawne w zakresie ochrony danych osobowych oparte są o nieustający proces doskonalenia zarządzania bezpieczeństwem danych osobowych, wymuszając stosowanie coraz nowocześniejszych i zaawansowanych technicznie środków.
Trzeba też pamiętać, że pewne szczególne kwestie wynikające z wejścia w życie RODO wymagają uregulowania na poziomie ustawodawstwa krajowego. Warto więc na bieżąco śledzić również zmiany w polskim ustawodawstwie.Powyższe wskazówki nic nie zmienią, jeśli nie zastosujesz się nich. Ale jeśli weźmiesz je do serca, mogą Ci znacząco pomóc w przygotowaniu do wyzwań GDPR.Aby uniknąć przykrych konsekwencji finansowych zacznij działać już DZIŚ
