RODO nie daje precyzyjnych wytycznych co do tego, jak zorganizować w firmach działalność operacyjną i systemy bezpieczeństwa danych, by zapewnić zgodność z przepisami. W tym kontekście pojawia się ważne pytanie: jak dochować należytej staranności, by uniknąć ryzyka naruszenia danych i w konsekwencji kary za złamanie przepisów?
RODO zwiększa odpowiedzialność podmiotów gospodarczych za działania prowadzone w ramach „obrotu” danymi osobowymi. W przeciwieństwie do dotychczas obowiązujących przepisów, rozporządzenie nie daje gotowej recepty, jak chronić dane oraz nie sugeruje rozwiązań technologicznych. Biznes ma nowy obowiązek – wpisać ochronę danych osobowych w procesy funkcjonujące w firmach. Każda firma inaczej obchodzi się z tymi danymi, więc indywidualnie musi oszacować czy zachowuje bezpieczeństwo zgodne z rozporządzeniem.
Szacowanie ryzyka przetwarzania danych osobowych
– Jedną ze zmian wynikających z RODO jest konieczność wypracowania w firmach podejścia do zarządzania danymi osobowymi bazującego na ryzyku, które jest indywidualnie określane przez przedsiębiorcę. Reguła ta jest wspierana zasadą rozliczalności. Mówi ona o przyjmowaniu przez firmy odpowiednich środków organizacyjnych i technicznych, które są adekwatne do zidentyfikowanego ryzyka oraz, co bardzo ważne, o zapewnieniu sobie możliwości wykazania przed organem kontrolnym, że przyjęte rozwiązania spełniają wymagania RODO – zwraca uwagę Tomasz Mamys, Project Manager RODO w Sage.
W małej firmie, dla której praca z danych osobowymi nie jest istotną częścią działalności, wystarczy w pierwszej kolejności rzetelnie opisać drogę, jaką „przebywają” dane osobowe w firmie. Następnie należy zidentyfikować furtki, którymi dane mogą biznesowi uciec spod opieki (także czynnik ludzki). Spisanie zasad komunikowania z właścicielami danych (osobami fizycznymi) to ostatni krok w uproszczonej procedurze analizy ryzyka. Warto pamiętać, że RODO daje obywatelom unijnym władzę nadzoru nad danymi – prawo do zapomnienia, prawo do domagania się dowodów na uprzednie wyrażenie zgody, itp.
Przemyślany dobór środków bezpieczeństwa
Zastosowane przez przedsiębiorców środki techniczne i organizacyjne będą różne w zależności od rodzaju przetwarzanych danych (np. danych o stanie zdrowia, danych biometrycznych), jak i od branży oraz modelu, w jakim działa firma. Odmienne rozwiązania przyjmą instytucje finansowe, inne sklepy internetowe, przychodnie czy sklepy. W praktyce, małe firmy, których głównym obszarem działania nie jest przetwarzanie danych osobowych, mogą mieć dokumentację w bardzo uproszczonej formie.
– RODO w bardzo ogólny, przez co – elastyczny – sposób podpowiada administratorom, jak powinni działać, by poruszać się w bezpiecznych ramach i być w zgodzie z przepisami. Jednocześnie jednak należy umieć wykazać słuszność podjętych działań. Jedno z wyzwań RODO polega właśnie na tym, że firmy mają umieć merytorycznie uzasadnić stosowane przez siebie praktyki na gruncie organizacyjnym, technicznym i informatycznym – dodaje Tomasz Mamys.
W najmniejszych firmach podstawową formą zabezpieczenia danych będzie np.: posiadanie legalnego, aktualnego oprogramowania – systemów operacyjnych, programów antywirusowych czy programów wspierających prowadzenie biznesu. Warto jednak pamiętać, że żadne oprogramowanie nie stanowi bariery całkowicie zabezpieczającej firmę przed ryzykiem. Kluczowym ogniwem w systemie bezpieczeństwa jest człowiek. Dlatego niezbędne są szkolenia pracowników i włączenie obowiązków związanych z ochrona danych osobowych do regulaminów pracy.
Dane osobowe wpisane w proces biznesowy
W myśl obowiązującej wciąż ustawy firmy bazują na kulturze szablonów i wzorców wypracowanych w okresie ostatnich kilkunastu lat. Nie są to jednak bardzo często działania podejmowane w odniesieniu do faktycznego, czy możliwego, realnego ryzyka oszacowanego przez przedsiębiorcę.
– RODO uświadamia każdemu z nas ważność naszych danych osobowych i praw z nimi związanych, także ich egzekwowania. Powoduje to wzrost ryzyka biznesowego, szczególnie dla podmiotów mniejszych, nie związanych bezpośrednio z obrotem danymi osobowymi. RODO zobowiązuje do dostrzegania i uwzględniania w procedurach każdej firmy kwestii przetwarzania danych osobowych. Od planowania działań, przez pierwszy kontakt z osobami, których dane dotyczą, poprzez świadczenie usług, dostawy towaru, prowadzenie działalności marketingowej lub innej działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, aż po usuwanie danych, gdy nie są już niezbędne do celu, dla którego realizacji zostały zebrane. RODO wymusza zatem proaktywne i prewencyjne podejście do ochrony danych osobowych i ich przetwarzania – podsumowuje Tomasz Mamys, ekspert Sage.