Żyjemy w epoce cyfrowej, w której znaczna część naszej egzystencji przeniosła się w świat wirtualny. W tym świecie najważniejszą walutą jest informacja. Dla większości z nas nie jest to jeszcze naturalne środowisko i poruszamy się w nim nieświadomi zagrożeń. Normą stały się już codzienne wiadomości o naruszeniach ochrony danych osobowych, czy atakach na inne sfery prywatności. Bywa, że są to działania o randze zorganizowanej cyberprzestępczości, czy nawet cyberterroryzmu. Bezpieczeństwo danych to sól w oku wszystkich gałęzi biznesu, jednak żadna technologia ochrony informacji nie pozwala na zadeklarowanie pełnej odporności na działania przestępcze, a nawet zwyczajnie nieetyczne.

Atmosfera ostatnich lat stała się korzystnym tłem dla stworzenia kompleksowej paneuropejskiej regulacji w zakresie ochrony danych osobowych. Biznes jest już świadomy istnienia GDPR i faktu, że wkrótce będzie to akt obowiązujący. Ale jak zapewnić swojej organizacji zgodność z Rozporządzeniem?

Jeżeli dotychczas nie zrobiłeś/aś zupełnie nic w celu dostosowania swojej firmy do GDPR – nie panikuj!

Oczywiście musisz zacząć zastanawiać się nad sposobami zapewnienia zgodności z GDPR, bo czasu nie zostało wiele. Niestety jest prawdą, że GDPR to regulacja przytłaczająca i potrafiąca przestraszyć nie tylko swoją objętością, ale w szczególności ilością i złożonością obowiązków, które nakłada.

Krok 1. Rozpoznaj obecną sytuację

Zanim skupisz się na konkretnych wymogach Rozporządzenia, dobrze będzie rzucić okiem na obecnie funkcjonujące w Twojej firmie zasady ochrony prywatności i danych osobowych. Przeprowadź audyt obecnie mających miejsce procesów przetwarzania danych oraz odśwież dokumentację, którą twoja firma posługuje się w zakresie ochrony danych. Jeżeli jest to możliwe, posłuż się zewnętrznym audytorem, który zapewni bezstronność, fachowość i rzetelność tego sprawdzenia.

Jeżeli postanowisz sam/a (lub ze swoim ABI) pracować nad stosowną dokumentacją, pamiętaj, że musi być ona zgodna ze wszystkimi przepisami prawa ważnymi dla działalności Twojej firmy. Nie tylko tymi o ochronie danych osobowych (np. prawo o świadczeniu usług drogą elektroniczną, prawo pocztowe, prawo telekomunikacyjne, prawo przewozowe, itd.). Nie zapomnij też, że dokumenty takie jak polityka prywatności, czy regulaminy, muszą być we właściwy sposób udostępniane Twoim Klientom i Kontrahentom.

Stosując jasny przekaz w tej kwestii nie tylko pozostaniesz w zgodności z GDPR, ale również okażesz szacunek swoim Klientom i udowodniasz, że zależy Ci na utrzymywaniu najwyższych standardów i dobrych praktyk.

Krok 2. Przyjrzyj się również samym danym, które Twoja firma przetwarza

Zadaj sobie cztery proste pytania:

  1. Czy dane, które przetwarzam są nadal potrzebne?
  2. Czy nie archiwizujecie danych dłużej niż jest to wymagane?
  3. Czy dysponujecie zgodami udzielonymi przez Klientów?
  4. Czy przechowujecie dane w sposób bezpieczny?

Jeśli nie potrzebujesz już jakichś danych – nie zatrzymuj ich! Tutaj mniej oznacza więcej. Warto też zidentyfikować osobę lub osoby w Twojej organizacji, które będą odpowiadać za “compliance” w zakresie ochrony danych. Taka osoba powinna znać zasady i dobre praktyki ochrony danych, ale też powinna doskonale orientować się w tym, jak i do czego dane są w firmie wykorzystywane. Następnie – już pod kątem obowiązku z GDPR – należy ocenić, czy Twoja firma podlega obowiązkowi wyznaczenia DPO (inspektora ochrony danych). Nawet, gdy powołanie DPO okaże się nieobowiązkowe, warto dokładnie zastanowić się nad korzyściami z „opieki” specjalisty do spraw ochrony danych.

Krok 3. Pozyskaj wymagane zgody

Na obecnym etapie warto skupić się na pozyskaniu zgód Klientów na przetwarzanie ich danych, jeżeli to zgoda jest stosowaną w danym procesie przesłanką legalności. Oczywiście mowa jest o pozyskaniu zgód w formie wskazanej w GDPR. Oznacza to m.in., jak wyjaśnił brytyjski organ ds. ochrony danych, że „Ważne jest, aby zgoda na zbieranie danych i ich użycie w określonym celu była widoczna, a nie ukryta w umowie z użytkownikiem”[1]. Dlatego bardzo ważne jest dokonanie już teraz oceny, w jaki sposób zgody są pozyskiwane, a także w jaki sposób spełniany jest obowiązek informacyjny wobec osób, których dane dotyczą.

Krok 4. Naruszenia ochrony

Kolejnym ważnym zagadnieniem, nad którym trzeba się skupić to zgłaszanie naruszeń ochrony danych osobowych.

Każdy przedsiębiorca przetwarzający dane osobowe będzie musiał obowiązkowo w trybie przewidzianym w GDPR, informować organ nadzorczy (przyszły odpowiednik GIODO) oraz osoby, których dane dotyczą o przypadkach naruszenia zasad ochrony danych. Dlatego jest ważne, aby już teraz zacząć projektować system, który trzeba będzie wprowadzić dla monitorowania procesów przetwarzania danych i alarmowania o naruszeniu integralności w celu przygotowania stosownej notyfikacji o zdarzeniu. Brak takiego systemu w chwili, gdy GDPR zacznie obowiązywać, narazi firmę na dotkliwe – bardzo kosztowne – konsekwencje przewidziane w GDPR.

Jeżeli w Twojej firmie zostanie wyznaczony DPO (lub już obecnie jest powołany ABI), ważne jest, aby cała organizacja była świadoma obecności takiej osoby – jej obowiązków i uprawnień wobec pracowników, a nawet samego Zarządu.

Krok 5. Privacy by Design, czyli bezpieczeństwo uwzględnione w fazie projektowania

Jeżeli działasz w branży IT, to zapewne wiele już słyszałeś/aś i wiesz o zasadzie uwzględniania bezpieczeństwa w fazie projektowania systemów. GDPR wprowadza zasadę „privacy by design” niezależnie od branży, w której działa podmiot zamierzający przetwarzać dane osobowe i zobowiązuje do przewidywania mechanizmów ochrony danych we wszystkich planowanych procesach wykorzystujących dane osobowe.

Skupienie się teraz na tej zasadzie to świetny sposób na uniknięcie problemów przy przetwarzaniu danych osobowych w przyszłości. To jeden z najważniejszych powodów, dlaczego nie można zwlekać z pracą nad dostosowaniem procesów do zgodności z GDPR.

Jeśli już teraz uwzględnisz kwestie prywatności w planowanych działaniach I projektach, to w 2018 roku będziesz w stanie zapewnić, że są one zgodne z europejskimi standardami GDPR.

Planując działania weź pod uwagę:

  • konieczność przechowywania danych
  • środki zabezpieczające dane osobowe
  • informowanie Klientów o zmianach
  • anonimizacje danych, itp.

GDPR wymaga dużego nakładu środków (czasu i pracy) nad planowaniem, konsultowaniem i testowaniem projektów wymagających przetwarzania danych osobowych. Trzeba jednak zrozumieć (albo przynajmniej przyjąć do wiadomości), że wszystkie nakłady zwrócą się w bliskiej przyszłości. Pamiętaj, że w ostatecznym rachunku zawsze korzystniejsze będzie włożenie wysiłku w zaplanowanie sprawnego i legalnego procesu niż późniejsze dostosowywanie procesu wadliwego do wymogów prawnych ale też rynkowych. Konsumenci są również coraz bardziej świadomi swoich praw i żądań, jakie mogą kierować do firm, które przetwarzają dane osobowe.

Podjęcie już teraz powyższych działań, łagodnie skieruje Cię na drogę zgodności z największymi zmianami wprowadzanymi przez GDPR.

Powodzenia!

Related Post

UDOSTĘPNIJ
Poprzedni artykułInteraktywny tekst GDPR
Następny artykułRewizja dyrektywy e-privacy
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.