Prowadząc działalność gospodarczą, pewnie niejednokrotnie zetknąłeś się z pojęciem „ochrona danych osobowych”. Słyszałeś też o RODO (GDPR). Niedawne zmiany w prawie sprawiały, że obszar ochrony danych osobowych został uznany za kluczowy w prowadzeniu biznesu i żadna firma nie powinna go bagatelizować. Aby zapewnić rzeczywistą zgodność z prawem w tym segmencie działalności, konieczne jest wdrożenie systemu ochrony danych osobowych.
Niniejszy artykuł odpowiada na pytania: Co to jest system ochrony danych osobowych? Dlaczego do wdrożenia RODO nie wystarczą same dokumenty? Co zyskasz, wdrażając system ochrony danych osobowych?
System, czyli...
W poprzednim artykule zaproponowałem dość autorskie, nieco intuicyjne rozumienie pojęcia „system”. To struktura oraz organizacja środków mających realizować określone cele. System oznacza spójność i kompleksowość, a także rzeczywiste funkcjonowanie. Wdrożenie systemu ochrony danych osobowych stanowi bardziej rozwiniętą formę „wdrożenia RODO” w firmie. Nie ma co ukrywać, że jest to również jedyne słuszne rozwiązanie wyzwania, jakie stawiają obecne przepisy o ochronie danych osobowych.
Niestety, jeśli myślałeś, że nabycie z Internetu „pakietu wdrażającego RODO w Twojej firmie” (bądź podobnego) pozwoli Ci spać spokojnie, wybacz, ale muszę wyprowadzić Cię z błędnego myślenia. Obietnice, które składają firmy chcące zarobić na boomie związanym z RODO, presji czasu i straszeniu w Internecie, nie zostaną pokryte, jeśli nie stworzysz na ich podstawie systemu ochrony danych osobowych.
Dlaczego nie wystarczą ogólne dokumenty?
Po pierwsze, zgodność prowadzonej działalności z przepisami o ochronie danych osobowych to nie tylko dokumenty. Oczywiście pewne obowiązki wynikające z RODO związane są z posiadaniem odpowiednich rejestrów, klauzul informacyjnych i umów powierzenia przetwarzania danych osobowych. Ważna jest także polityka ochrony danych osobowych, która przez wiele firm nadal jest sprzedawana w postaci dwóch dokumentów: polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zdecydowanie ważniejszą rolę z punktu widzenia ochrony danych osobowych pełnią procedury, które nie powinny odbiegać od standardów i charakteru prowadzonej działalności. Istotne są również szkolenia dla personelu, a także stały monitoring procesów i działań firmy, nie wykluczając żadnej relacji handlowej (czyli umów/ zamówień), monitoringu, kontaktów mailowych i telefonicznych etc. Ochrona danych osobowych nie powinna zostać tylko wdrożona, ale musi funkcjonować każdego dnia, a do tego potrzebne są określone aktywa, środki i ludzie, a takze chęci i nastawienie na tego rodzaju ochronę.
Po drugie, dokumenty szybko się dezaktualizują. Klauzule informacyjne, wzory umów powierzenia, rejestry i inne dokumenty tracą swoją wartość dla przedsiębiorstwa, gdy pozostawia się je w takim samym, niezmienionym kształcie dla różnych procesów i działań. Mogą być nieprawdziwe lub wykorzystywane w sposób nierzetelny, co prowadzi do stanu non-compliance (braku zgodności).
Po trzecie, bez audytu nie ma mowy o prawidłowej ochronie danych osobowych. Audyt w tym obszarze pozwala poznać firmę i jej procesy, działania oraz obszary, w których ma miejsce przetwarzanie danych osobowych. Próba zapewnienia zgodności organizacji z przepisami o ochronie danych osobowych bez uprzedniego audytu jest jak kupowanie samochodu bez jego obejrzenia i jazdy próbnej (chyba że kupujesz wyłącznie do celów kolekcjonerskich; niestety z ochroną danych osobowych tak się nie da).
Wspomnę jeszcze tylko o tym, że żadne dokumenty nie zastąpią szkoleń, monitorowania przestrzegania zasad ochrony danych osobowych ani tzw. tone from the top, czyli przyjęcia określonego standardu „z góry” — od zarządu/ kadry kierowniczej, którzy dają pracownikom przykład, inspirację i preferowaną normę.
Wdrożenie RODO — jak w praktyce nazywa się proces dostosowania działalności do wymogów RODO — to ważne wyzwanie dla firm i kluczowy krok w stronę wcielenia mechanizmów compliance w strukturę organizacji. Zamiast myśleć o spełnieniu bieżących wymogów, zasadniej stworzyć system, dzięki któremu możliwe będzie rozwiązanie każdego problemu.
Wymóg, standard czy wymysł...
Możesz zapytać: czy wdrożenie systemu ochrony danych jest wymogiem prawnym? Większość prawników odpowie na to pytanie w swoim stylu: „To zależy”. Coś w tym jest. Z jednej strony przepisy o ochronie danych osobowych, w szczególności RODO, nie stanowią o konieczności wdrożenia przez administratora danych systemu ochrony danych osobowych. Jeśli jednak wczytasz się w te przepisy i zrozumiesz ideę compliance, która przyświeca RODO, zrozumiesz, że tylko funkcjonowanie odpowiedniemu systemu w organizacji pozwoli w pełni i satysfakcjonujący sposób zapewnić firmie zgodność.
Niektórzy twierdzą, że wdrożenie w przedsiębiorstwie systemu ochrony danych osobowych oznacza przyjęcie wysokiego standardu, co by oznaczało, że spełnienie obowiązków prawnych w zakresie ochrony danych osobowych bez sprawnego funkcjonowania takiego systemu stanowi niski standard, a przynajmniej praktykę, której daleko do pochwały. Jeszcze inni stwierdzą, że to wymysł osób, które na RODO chcą zarobić.
Ode mnie natomiast dowiesz się, że system ochrony danych osobowych to kompleksowe spojrzenie na tematykę ochrony danych w organizacji. Możesz wykonywać swoje obowiązki, łatając pojawiające się po kolei dziury, bądź zbudować mechanizm pozwalający spinać różne elementy, tworząc dobrze funkcjonując całość, gdzie nie ma miejsca na dziury, lecz kolejne zastosowanie tej samej konstrukcji. Mechanizmy zastąpiły pracę mięśni, a współcześnie zmierzają do zastąpienia pracy umysłu. Wszystko ma na celu upraszczanie i szybkie rozwiązywanie problemów. A przetwarzanie danych osobowych to regularne problemy. Lepiej więc radzić sobie z nimi w sposób sprawny i zorganizowany. Myślimy podobnie?
Dowiedz się więcej o zgodności z ochroną danych w Strefie Compliance
O zapewnieniu zgodności możesz się dowiedzieć więcej w Strefie Compliance. Zebrałem tam dla Ciebie najpotrzebniejszą wiedzę.
Co zyskasz?
Jak z każdym systemem, jego zaplanowanie i przyjęcie wiąże się początkowo z większym nakładem zasobów i czasu — głównie po to, aby w późniejszym okresie system ten przynosił jak największe rezultaty. Tobie, jako przedsiębiorcy, powinno zależeć na efektywności ochrony danych osobowych, tj. na takim stanie Twojej firmy, w którym istnieje możliwie jak najwyższa wydajność procesów i działań związanych z przetwarzaniem danych osobowych przy jednoczesnym maksymalnym ograniczeniu ryzyka naruszenia ochrony tych danych.
Takiej efektywności nie uzyskasz poprzez bieżące rozwiązywanie problemów dotyczących ochrony danych osobowych. Powinieneś pomyśleć o konstrukcji, z której same będą wynikały reakcje na poszczególne zdarzenia, właściwe wyjścia z określonych sytuacji i prawidłowe działanie w przypadku zaistnienia nieprawidłowości.
Zyskujesz czas, pewność, że dany problem zostanie rozwiązany, a przy okazji przyjęte założenia i zbudowana struktura nie doznają uszczerbku. Nie oznacza to, że raz stworzony system będzie nie będzie się zmieniał. Wręcz przeciwnie. Zgodnie z cyklem Deminga system ochrony danych osobowych należy stale usprawniać, „wyławiać” nowe problemy i wyzwania, a także sięgać po nowe rozwiązania, dzięki którym firma nie zostanie w tyle za konkurencją.
System ochrony danych osobowych to konieczność, jeśli chcesz poważnie potraktować obszar ochrony danych osobowych w Twojej firmie. Ostatnie półtora roku pokazało, że o ile temat „wdrożenia RODO” był niezwykle popularny wśród przedsiębiorców, o tyle jego prawidłowa realizacja stała się wyzwaniem, które przekroczyło oczekiwania. W dodatku część firm zwyczajnie zignorowała potrzebę zapewnienia zgodności z przepisami w tym obszarze i prędzej czy później stanie w obliczu rzeczywistego zagrożenia i problemów, które wcale nie będzie tak łatwo rozwiązać. Funkcjonowanie systemu ochrony danych osobowych zapewnia przewagę, nawet jeśli tego nie zauważysz. To nie tyle co profesjonalny standard, ale wejście na poziom, na którym łatwiej jest rozwinąć swój biznes.
A o tym, w jaki sposób wdrożyć właściwy system ochrony danych osobowych, dowiesz się już wkrótce.
Potrzebna szczegółowa porada?
Jeśli potrzebujesz szczegółowego omówienia jakiegoś tematu, skontaktuj się ze mną. Wyślij wiadomość poprzez formularz kontaktowy w zakładce Kontakt i zajmiemy się Twoją sprawą.
Jeśli uznasz ten wpis za przydatny, roześlij go innym. Zapoznaj się z innymi artykułami na Blogu oraz w Strefie Compliance. Nie zapomnij odwiedzić stronę Bloga na Facebooku oraz LinkedIn.
Jeszcze więcej interesujących Cię informacji możesz otrzymać w Newsletterze Bloga Compliance. Zapisz się przy użyciu formularza po prawej stronie.
Dziękuję i korzystaj z dnia z myślą o compliance!
