Jak wygląda wdrożenie RODO w firmie?

Wdrożenie RODO jest procesem złożonym i angażującym większość działów w przedsiębiorstwie. Każde wdrożenie RODO w firmie ma rys indywidualny, zależy od działalności branżowej czy dotychczasowych sposobów przetwarzania danych osobowych. Można jednak wyróżnić ogólny schemat implementacji RODO.

Jak zacząć?

Wdrożenie RODO w firmie może być przeprowadzone własnymi siłami lub powierzone podwykonawcy zewnętrznemu. W pierwszym przypadku warto powołać zespół roboczy do tego projektu. W jego skład powinni wejść przedstawiciele działów przetwarzających dane osobowe, czyli pracownicy HR, obsługi klienta, księgowości, marketingu, a także oczywiście inspektor ochrony danych, o ile został powołany.

Wdrożenie RODO w firmie – krok po kroku

Ustalenie jakie dane osobowe przetwarza firma

To mogą być dane klientów, podwykonawców czy pracowników. Dzięki temu, będzie wiadomo, jak szeroki zakres danych osobowych jest przetwarzany przez firmę.

Inspekcja aktualnie stosowanych zabezpieczeń danych osobowych

Ta procedura powinna wykazać, na ile obecne działania odbiegają od standardów narzucanych przez rozporządzenie RODO.

Ocena ryzyka przetwarzania danych osobowych

Zespól roboczy powinien zastanowić się, czy dotychczasowy zakres, charakter i cele przetwarzania nie uderzają w bezpieczeństwo danych w firmie.

Zmiany w funkcjonowaniu przetwarzania danych osobowych

Po ocenie ryzyka warto wprowadzić ( lub zaktualizować) podstawy prawne przetwarzania danych osobowych.

Trzeba m. in.:

  • zebrać nowe zgody, które spełniają warunki RODO
  • przygotować klauzule obowiązków informacyjnych, które zostaną umieszczone w miejscach zbierania danych ( np. w formularzach kontaktowych czy rejestracyjnych)
  • usunąć dane osobowe wykraczające poza zakres niezbędny do realizacji celów, w jakich je zebrano.

Wdrożenie odpowiednich zabezpieczeń

Te zabezpieczenia mogą być natury:

  • organizacyjnej – rozpowszechnianie odpowiednich regulaminów, upoważnień i uprawnień
  • fizycznej – monitoring, ograniczenia dostępu do pomieszczeń, gdzie przetwarza się dane osobowe
  • technologicznej – instalacja programów antywirusowych, wykonywanie kopii zapasowych itp.

Dokumentowanie działań

Bezpieczeństwo danych w firmie trzeba dokumentować. Dzięki temu łatwiej zapewnić prawidłowy przebieg operacji na danych osobowych, a także wykazać swoje starania w razie ewentualnej kontroli.

Do tego typu dokumentacji należy m. in. :

  • prowadzenie czynności przetwarzania i rejestru kategorii czynności przetwarzania
  • rejestr powiadomień Urzędu Ochrony Danych Osobowych o sytuacjach naruszenia bezpieczeństwa danych
  • prowadzenie wewnętrznego rejestru naruszeń ochrony danych.

Oprócz tego zalecane jest przygotowanie odpowiednich procedur i instrukcji w takich tematach jak m. in.:

  • instrukcji postępowania w przypadku cyberataku,
  • procedury postępowania w przypadku naruszenia bezpieczeństwa danych w firmie,
  • instrukcji korzystania z urządzeń przetwarzania mobilnego,
  • instrukcji niszczenia danych,
  • instrukcji postępowania przy przekazywaniu danych podmiotom zewnętrznym.

Szkolenia pracowników

O wszystkich prawach i obowiązkach wynikających z RODO trzeba poinformować pracowników.

Audyt podsumowujący

Wdrożenie RODO w firmie warto podsumować końcowym audytem, który ma na celu sprawdzenia, czy wszystkie narzędzia chroniące dane osobowe zostały odpowiednio zaimplementowane.