Proces wdrożenia i utrzymania zgodności z unijnym rozporządzeniem o ochronie danych osobowych (RODO), można porównać do procesu produkcji i eksploatacji samochodu. Podobnie jak auto, system ochrony danych osobowych powinien być dobrze zaprojektowany, przetestowany i podlegać przeglądom, a w razie potrzeby – naprawom. Niezależnie od przyjętej koncepcji pracy, pewnych etapów wdrożenia RODO – podobnie jak produkcji samochodu – nie da się ominąć.

WDROŻENIE RODO – FAZA PRODUKCJI SAMOCHODU

  1. Opracowanie koncepcji wdrożenia RODO – Zaprojektowanie samochodu

Podobnie jak na rynku projektowania samochodów, również i usługi wdrożenia RODO oferuje wielu specjalistów. Ponieważ jakość koncepcji rzutuje na wszystkie pozostałe etapy, dobór projektanta jest kluczowy dla całego procesu.

  1. Audyt otwarcia i analiza ryzyka – Testowanie projektu

Wstępny projekt samochodu – jeszcze przed konstrukcją prototypu – testuje się przy użyciu wirtualnych symulatorów. Podobnie ocenia się funkcjonowanie dotychczasowego systemu ochrony danych osobowych, wskazując, które elementy wymagają dostosowania do RODO i jak należy to zrobić.

  1. Dostosowanie procesów, zasobów i dokumentacji – Konstrukcja prototypu

Aby skonstruować samochód, należy nie tylko wyprodukować poszczególne elementy, ale także złożyć je w zgraną całość i opisać ich funkcjonowanie. Analogicznie, wdrożenie RODO nie kończy się na dostosowaniu samych procesów przetwarzania danych osobowych, ale wymaga także dostosowania zasobów uczestniczących w operacjach przetwarzania oraz przyjęcia odpowiednich polityk i procedur.

  1. Audyt zamknięcia – Testowanie prototypu

Przed dopuszczeniem do użytkowania, zawsze przeprowadza się testy prototypu samochodu. Dzięki nim producent może wykryć ostatnie niedociągnięcia i uniknąć odpowiedzialności lub utraty reputacji. Analogicznie, sam fakt wykonania zadań składających się na proces wdrożenia RODO nie wystarczy, aby uznać, że organizacja osiągnęła już zgodność i uniknie kar administracyjnych. W tym celu należy zbadać poziom wdrożenia rekomendacji oraz jeszcze raz przeprowadzić audyt systemu ochrony danych osobowych i wydać rekomendacje.

  1. Wdrożenie rekomendacji z audytu zamknięcia – Produkcja modelu końcowego

Po testach prototypu samochodu przeprowadza się dalszą analizę i udoskonala ostateczny produkt. Podobnie, wdrożenie RODO jest na tyle skomplikowanym procesem, że również audyt zamknięcia może wykazać potrzebę dalszego doskonalenia.

  1. Opcjonalnie: Certyfikacja

Na rynku samochodowym występują różne rodzaje certyfikacji – np. dotyczące bezpieczeństwa, czy standardów emisji spalin. Również w branży ochrony danych osobowych dostępne będą mechanizmy certyfikacji oraz znaki jakości i oznaczeń, mające świadczyć o zgodności z RODO.

UTRZYMANIE RODO – FAZA EKSPLOATACJI SAMOCHODU

  1. Funkcjonowanie systemu ochrony danych osobowych – Wykorzystanie samochodu

Samochód powinien prowadzić dobrze przeszkolony kierowca, który nie tylko stosuje się do przepisów, ale też jest w stanie odpowiednio zareagować na zmieniające się okoliczności na drodze. Podobnie, prawidłowe funkcjonowanie systemu ochrony danych osobowych wymaga przeszkolenia pracowników nie tylko z treści nowych regulacji, ale także z praktycznych aspektów ochrony danych osobowych w codziennej pracy.

  1. Odpowiedzialność personelu – Odpowiedzialność kierowcy

Podobnie jak producent odpowiada za ewentualne wady techniczne pojazdu, kierowca odpowiada za bezpieczną jazdę i zgłaszanie usterek. Analogicznie, pracownicy powinni być nie tylko odpowiedzialni stosowanie się do wewnętrznych regulacji ochrony danych, ale także zgłaszać wszelkie incydenty Inspektorowi Ochrony Danych.

  1. Monitorowanie i utrzymywanie zgodności – Okresowe przeglądy i serwis samochodu

Nawet najlepszy samochód jest podatny na usterki i może ulegać wypadkom. Aby zmniejszyć ich ryzyko, a w razie potrzeby – przywrócić sprawność samochodu – należy korzystać w usług dobrych mechaników.

W przypadku systemu ochrony danych osobowych, podatnościami są luki w zabezpieczeniach danych osobowych, natomiast wypadkami – incydenty i na przykład wyciek danych osobowych – mówi dr Paweł Mielniczek, ODO 24.  Aby im zapobiec, system ochrony danych osobowych powinien być utrzymywany przez dobrze przeszkolony zespół działający wewnątrz organizacji, jak również podlegać okresowym przeglądom niezależnych ekspertów – dodaje

PODOBNE ARTYKUŁYWIĘCEJ OD AUTORA