Proces wdrożenia i utrzymania zgodności z unijnym rozporządzeniem o ochronie danych osobowych (RODO), można porównać do procesu produkcji i eksploatacji samochodu. Podobnie jak auto, system ochrony danych osobowych powinien być dobrze zaprojektowany, przetestowany i podlegać przeglądom, a w razie potrzeby – naprawom. Niezależnie od przyjętej koncepcji pracy, pewnych etapów wdrożenia RODO – podobnie jak produkcji samochodu – nie da się ominąć.
WDROŻENIE RODO – FAZA PRODUKCJI SAMOCHODU
- Opracowanie koncepcji wdrożenia RODO – Zaprojektowanie samochodu
Podobnie jak na rynku projektowania samochodów, również i usługi wdrożenia RODO oferuje wielu specjalistów. Ponieważ jakość koncepcji rzutuje na wszystkie pozostałe etapy, dobór projektanta jest kluczowy dla całego procesu.
- Audyt otwarcia i analiza ryzyka – Testowanie projektu
Wstępny projekt samochodu – jeszcze przed konstrukcją prototypu – testuje się przy użyciu wirtualnych symulatorów. Podobnie ocenia się funkcjonowanie dotychczasowego systemu ochrony danych osobowych, wskazując, które elementy wymagają dostosowania do RODO i jak należy to zrobić.
- Dostosowanie procesów, zasobów i dokumentacji – Konstrukcja prototypu
Aby skonstruować samochód, należy nie tylko wyprodukować poszczególne elementy, ale także złożyć je w zgraną całość i opisać ich funkcjonowanie. Analogicznie, wdrożenie RODO nie kończy się na dostosowaniu samych procesów przetwarzania danych osobowych, ale wymaga także dostosowania zasobów uczestniczących w operacjach przetwarzania oraz przyjęcia odpowiednich polityk i procedur.
- Audyt zamknięcia – Testowanie prototypu
Przed dopuszczeniem do użytkowania, zawsze przeprowadza się testy prototypu samochodu. Dzięki nim producent może wykryć ostatnie niedociągnięcia i uniknąć odpowiedzialności lub utraty reputacji. Analogicznie, sam fakt wykonania zadań składających się na proces wdrożenia RODO nie wystarczy, aby uznać, że organizacja osiągnęła już zgodność i uniknie kar administracyjnych. W tym celu należy zbadać poziom wdrożenia rekomendacji oraz jeszcze raz przeprowadzić audyt systemu ochrony danych osobowych i wydać rekomendacje.
- Wdrożenie rekomendacji z audytu zamknięcia – Produkcja modelu końcowego
Po testach prototypu samochodu przeprowadza się dalszą analizę i udoskonala ostateczny produkt. Podobnie, wdrożenie RODO jest na tyle skomplikowanym procesem, że również audyt zamknięcia może wykazać potrzebę dalszego doskonalenia.
- Opcjonalnie: Certyfikacja
Na rynku samochodowym występują różne rodzaje certyfikacji – np. dotyczące bezpieczeństwa, czy standardów emisji spalin. Również w branży ochrony danych osobowych dostępne będą mechanizmy certyfikacji oraz znaki jakości i oznaczeń, mające świadczyć o zgodności z RODO.
UTRZYMANIE RODO – FAZA EKSPLOATACJI SAMOCHODU
- Funkcjonowanie systemu ochrony danych osobowych – Wykorzystanie samochodu
Samochód powinien prowadzić dobrze przeszkolony kierowca, który nie tylko stosuje się do przepisów, ale też jest w stanie odpowiednio zareagować na zmieniające się okoliczności na drodze. Podobnie, prawidłowe funkcjonowanie systemu ochrony danych osobowych wymaga przeszkolenia pracowników nie tylko z treści nowych regulacji, ale także z praktycznych aspektów ochrony danych osobowych w codziennej pracy.
- Odpowiedzialność personelu – Odpowiedzialność kierowcy
Podobnie jak producent odpowiada za ewentualne wady techniczne pojazdu, kierowca odpowiada za bezpieczną jazdę i zgłaszanie usterek. Analogicznie, pracownicy powinni być nie tylko odpowiedzialni stosowanie się do wewnętrznych regulacji ochrony danych, ale także zgłaszać wszelkie incydenty Inspektorowi Ochrony Danych.
- Monitorowanie i utrzymywanie zgodności – Okresowe przeglądy i serwis samochodu
Nawet najlepszy samochód jest podatny na usterki i może ulegać wypadkom. Aby zmniejszyć ich ryzyko, a w razie potrzeby – przywrócić sprawność samochodu – należy korzystać w usług dobrych mechaników.
W przypadku systemu ochrony danych osobowych, podatnościami są luki w zabezpieczeniach danych osobowych, natomiast wypadkami – incydenty i na przykład wyciek danych osobowych – mówi dr Paweł Mielniczek, ODO 24. Aby im zapobiec, system ochrony danych osobowych powinien być utrzymywany przez dobrze przeszkolony zespół działający wewnątrz organizacji, jak również podlegać okresowym przeglądom niezależnych ekspertów – dodaje