7 kroków do wdrożenia RODO

, tymczasem nasz Net Complex’owy Team przez dwa dni miał okazję uczestniczyć w szkoleniu dotyczącym prawnych aspektów ochrony danych osobowych, w związku z wchodzącym w życie RODO. W ciągu szesnastu godzin, poznając wszelkie procedury i wymagania jakie narzucą na nas nowe przepisy, staliśmy się nie tylko bogatsi o wiedzę, ale także podnieśliśmy swoje kompetencje i poziom świadomości prawnej. Na dzień dzisiejszy, tematyka RODO wzbudza wśród przedsiębiorców szereg kontrowersji. Powstaje wiele pytań, na które bardzo często trudno uzyskać sensowną odpowiedź. Najczęstsze dylematy właścicieli mniejszych i większych firm to pytania o wdrożenie odpowiednich rozwiązań chroniących dane oraz podstawowe pytanie „czy aby na pewno to wszystko mnie dotyczy?” Kogo dotkną zmiany? Bez wyjątku – każdego administratora danych osobowych. Pod tym pojęciem kryją się wszelkie podmioty gospodarcze, które gromadzą i przetwarzają informacje o osobach fizycznych. Przepisy przygotowane zostały nie tylko z myślą o dużych firmach, które przetwarzają dane na wielką skalę, ale również o tych mniejszych – każde przedsiębiorstwo zobowiązane jest do wdrożenia procedur i podleganie nowym przepisom.

Przedstawiamy 7 podstawowych kroków, które będą najlepszym startem do wdrożenia RODO u Ciebie.

1. Szkol pracowników swojej firmy

To właśnie oni mogą okazać się najsłabszym ogniwem i powodem naruszenia poufności danych, choćby przez niewiedze. Zadbaj o to, żeby każdy z nich zapoznał się z tematem RODO, czyli w pełni zdawał sobie sprawę z konsekwencji niedostosowania się do przepisów. Postaraj się zbudować świadomość, że wdrożenie nowych przepisów dotyczy każdego, kto ma styczność z danymi osobowymi. Postaw więc na przeszkolenie pracowników.

2. Zbadaj procesy przetwarzania danych w firmie oraz zinwentaryzuj zbiory danych

Przeprowadź dokładny audyt, w którym zbadasz i zaktualizujesz dotychczasową politykę zarządzania danymi w przedsiębiorstwie. Wyznacz słabe i mocne strony, a co najważniejsze - szanse i zagrożenia. Zrób listę pracowników i określ stopień dostępności danych, do których mają dostęp. Pamiętaj - nowe przepisy sugerują minimalizację danych - pracownicy powinni mieć dostęp tylko do tych danych, które są niezbędne do wykonywania ich pracy.

3. Przyjrzyj się procesowi pozyskiwania i przetwarzania danych osobowych

Musisz wiedzieć w jaki sposób Twoja firma pozyskuje wszelkie dane i jak szczegółowe one są. Chodzi tu o dane osobowe nie tylko pracowników ale również klientów, kontrachentów i wszelkie inne, które przetwarza firma. Sprawdź w jaki sposób dane są przechowywane, czy są odpowiednio zabezpieczone i kto ma do nich dostęp.

4. Pamiętaj o jednoznacznych zgodach na przetwarzanie danych osobowych

Dotychczas spotykane zgody zawierały w sobie formułę „ Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych”. Nowa ustawa stawia na czytelność - zgoda musi być dobrowolna, świadoma i przede wszystkim jednoznaczna. Osoba zgadzająca się na przetwarzanie danych musi znać konkretny cel przetwarzania jej danych. Zgoda nie może wprowadzać w błąd.

5. Każdy proces przetwarzania danych musisz udokumentować

Sporządź listę wszystkich firmowych procedur, wszelkich regulaminów i upoważnień. Każdy z pracowników musi mieć świadomość (popartą podpisem), że zapoznał się z regulaminami i konsekwencjami ich niedopełnienia.

6. Sprawdź dokumentację wewnętrzną

Sprawdź czy charakter działalności nie wymusza stworzenia dodatkowych zapisów w umowach, aneksów lub zgód. Nie ma jednej złotej reguły - każda firma charakteryzuje się inną specyfiką działalności, dlatego każdy indywidualnie musi to przeanalizować.

7. Systemy informatyczne zabezpieczające dane - czy spełniają wymogi RODO?

To aspekt, na którym trzeba skupić szczególną uwagę. Ustawa nie mówi jasno o tym, jakie rozwiązania musisz posiadać, żeby spełnić wymogi RODO. Musisz jednak umieć udowodnić, że posiadasz rozwiązanie, które ma w założeniu zabezpieczenie danych przed wypłynięciem, kradzieżą, zniszczeniem czy zagubieniem. Miej na uwadze, że konsekwencje za niedopełnienie ponosi administrator. W przypadku incydentu, masz 72 godziny, aby wykazać, że dane nie miały prawa wyciec z Twojej firmy.

Nie znając dokładnej infrastruktury Twojej sieci, standardowo rekomendujemy poniższe rozwiązania: 

• UTM- urządzenie, które stoi i kontroluje ruch na brzegu Twojej sieci. Wyposażony w IPS oraz firewall, będzie odpowiedzialny za kompletną ochronę Twojej sieci - na zewnątrz i w środku Twojej organizacji oraz przepływ danych do publicznej sieci internetowej.
• Szyfrowanie - rozwiązanie, które zapewni ochronę na stacjach końcowych użytkowników, w sieci oraz platformach chmurowych. Jego zadaniem jest zabezpieczenie plików pod kątem plików oraz samego sprzętu.
• DLP - Data Loss Prevention - ochrona przed wyciekiem danych z organizacji na zewnątrz, szczególnie ważna podczas wysyłania wiadomości e-mail, w których znajdują się dane.

Chcesz dowiedzieć się więcej na temat nowej polityki bezpieczeństwa? Koniecznie przeczytaj nasz poradnik  GDPR, który znajdziesz pod linkiem: https://www.netcomplex.pl/gdpr-poradnik