Od maja 2018 r. zacznie obowiązywać RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Rozporządzenie to znacznie poszerza obowiązki podmiotów przetwarzających dane osobowe, na ewentualne naruszenia natomiast wprowadza kary finansowe. Aby ułatwić przedsiębiorcom tę niełatwą drogę przygotowań do wdrożenia RODO Fundacja Bezpieczna Cyberprzestrzeń rozpoczęła projekt #ROADtoRODO.
Co to jest #ROADtoRODO?
Jak powinno wyglądać wdrożenie RODO w organizacji? Poniżej przedstawiamy mapę drogową zawierającą najważniejsze kroki konieczne do implementacji RODO opatrzone datami. Na naszej drodze zaznaczyliśmy te umowne terminy oraz czas ich trwania, w których naszym zdaniem należałoby się zająć poszczególnymi czynnościami aby ułatwić sprawne przygotowanie się do wprowadzenia rozporządzenia w życie. Mamy nadzieję, że terminarz podziała na wyobraźnię i zmobilizuje tych, którzy zwlekają z rozpoczęciem prac w tym kierunku – wdrożenia RODO. W każdym z przystanków będziemy opisywać kolejny krok tak, żeby „dowieźć pasażerów bezpiecznie do celu”.
Zaczynamy więc naszą podróż #ROADtoRODO jak widzicie droga wcale nie będzie prosta (INFOGRAFIKA). Zachęcamy do śledzenia kolejnych odcinków.
MAPA DROGOWA #ROADtoRODO
- Powołanie zespołu wewnętrznego, lub wybór ekspertów zewnętrznych. (2-6 listopada)
- Inwentaryzacja zasobów. (6-27 listopada)
- Zmapowanie procesów przetwarzania danych w organizacji. (27 listopada- 18 grudnia)
- Przeprowadzenie audytu zgodności przetwarzania danych z RODO i wypracowanie rekomendacji, w tym audyt dokumentów – np. zgody na przetwarzanie, umowy z procesorami. (18 grudnia – 8 stycznia)
- Przygotowanie nowych dokumentów, zgody na przetwarzanie, przygotowanie nowych umów z procesorami/negocjacje obecnych umów. (8 stycznia – 5 lutego)
- Ocena ryzyka i ocena skutków dla ochrony danych. (5 lutego – 26 lutego)
- Przygotowanie odpowiednich dokumentów organizacyjnych – rejestr przetwarzania, polityki bezpieczeństwa i procedury. (26 lutego – 12 marca)
- Szkolenie dla wszystkich pracowników z nowych procedur i ogólnych informacji o RODO. (12 marca – 23 marca)
- Wdrożenie procedur i rekomendacji. (23 marca – 16 kwietnia)
- Audyt powdrożeniowy, rekomendacje i korekty. (16 kwietnia – 24 maja)
Powołanie zespołu projektowego #ROADtoRODO
W celu skutecznego wdrożenia RODO w organizacji niezbędne jest powołanie odpowiedniego zespołu projektowego, który zagwarantuje, że proces wdrażania będzie skuteczny a wszystkie zainteresowane nim strony, będą włączone w jego zaimplementowanie.
[bctt tweet=”Powołanie zespołu projektowego #ROADtoRODO” username=”cybsecurity_org”]
Oczywiście ochrona danych osobowych dotyczyć będzie każdego pracownika, jednak nie każdy pracownik powinien znaleźć się w zespole projektowym. Jedną z trudniejszych rzeczy jest więc odpowiednia identyfikacja interesariuszy, by wiedzieć z kim rozmawiać i na jakim etapie projektu wdrażania RODO w organizacji. Omawiając wdrożenie projektu RODO, zakładamy, że zarząd lub najwyższe kierownictwo dały już zielone światło i przygotowały odpowiedni budżet, który zapewni możliwości działania (jeśli tak nie jest – powinny to uczynić jak najszybciej, jedynie z „namaszczeniem” najważniejszych osób w organizacji mamy szansę na wprowadzenie w życie zmian organizacyjnych i proceduralnych jakie niesie ze sobą RODO). Pozostaje nam więc odnalezienie najważniejszych komórek organizacyjnych, które są żywotnie zainteresowane w/w projektem i powinny się aktywnie włączyć w jego wdrożenie.
Kim oni są?
W praktyce najbardziej zainteresowane strony, które powinny uczestniczyć w zespole projektowym to:
– przedstawiciel zarządu/najwyższego kierownictwa
– przedstawiciel działu prawnego
– przedstawiciel działu compliance
– przedstawiciel działu IT
– przedstawiciele działów biznesowych, takich jak sprzedaż, marketing, HR i inne
Bardzo istotne jest przeprowadzenie wstępnego szkolenia, najlepiej przez firmę zewnętrzną dla osób wchodzących w skład zespołu projektowego, szkolenie takie pozwoli zapoznać się z wyzwaniami i celem jakim jest skuteczna ochrona danych osobowych w zgodności z przepisami rozporządzenia RODO. Czemu najlepszym rozwiązaniem jest szkolenie zewnętrzne? Pozwoli ono zapoznać się z przepisami, które zostaną przekazane przez osobę całkowicie niezależną, która nie patrzy na nie z punktu widzenia działu w jakim jest zatrudniona i jest w stanie wiedzę przekazać całkowicie obiektywnie. Pozwoli to na uniknięcie sporów interpretacyjnych wewnątrz zespołu projektowego. Obecnie na rynku działa wiele podmiotów przeprowadzających tego typu szkolenia, więc jedynym problemem powinien być wybór podmiotu posiadającego zarówno wiedzę o przepisach prawnych jak i o odpowiednim zabezpieczeniu i działaniu systemów przetwarzających dane osobowe. Jedno jest pewne, zakup tzw. „pudełka” nie zapewni zgodności z RODO. Na pierwszych spotkaniach zespołu projektowego powinien zostać ustalony sposób komunikacji w zespole, sposób monitorowania i raportowania, oraz ustalenie planu działania, który układa się w naszą mapę drogową #ROADtoRODO, można w niej wyróżnić trzy podstawowe etapy:
- Analiza przed wdrożeniem: określenie zasad projektowych, data mapping, analiza stanu faktycznego, analiza stanu prawnego i analiza rozbieżności.
- Wdrożenie RODO: przygotowanie odpowiednich dokumentów, plan wdrożenia, wdrożenie, przeprowadzenie audytu końcowego.
- Budowanie i weryfikacja świadomości RODO wśród pracowników.
Powołanie zespołu projektowego jest pierwszym krokiem jaki należy zrobić jak najszybciej, bo czasu do 25 maja 2018, kiedy rozporządzenie RODO zaczyna obowiązywać jest już naprawdę bardzo mało. Sam czas implementacji RODO w organizacji jest zmienny, zależy od wielu czynników m.in. od tego jak wielka jest organizacja, jak wiele zbiorów danych przetwarza, jaki jest ich zakres i cel przetwarzania, czy jak dobrze mamy zmapowane procesy i systemy.
Czasem najlepszym rozwiązaniem może być posiłkowanie się niezależnymi ekspertami, którzy stworzą za nas taki zespół projektowy, jednak pamiętać należy, że w jego skład muszą wejść lub ściśle z nim współpracować przedstawiciele podmiotu wdrażającego RODO a wybrani do przeprowadzenia projektu eksperci muszą mieć wyraźne upoważnienie od osób kierujących organizacją, by uniknąć ewentualnego braku chęci współpracy/otwartości na zmiany ze strony pracowników.
PRZYSTANEK nr 2
Jesteście zainteresowani szkoleniami podczas których m.in. dokładnie omawiamy każdy z punktów naszej mapy drogowej #ROADtoRODO?
SZCZEGÓŁOWE INFORMACJE – Szkolenie „Niuanse RODO”