Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji.
Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów przy zapewnieniu zgodności z RODO. Wśród nich na pierwszym miejscu znalazło się właśnie „papierowe” wdrożenie. Oznacza to, że mimo sporządzenia i przyjęcia w organizacjach procedur ochrony danych osobowych, w praktyce pracownicy przetwarzający dane nie znają tych zasad, nie rozumieją ich, a w konsekwencji ich nie stosują. Może to w dłuższej perspektywie prowadzić do poważnych naruszeń ochrony danych osobowych, a także do nałożenia wysokich kar pieniężnych na przetwarzających dane.
Powyższe podejście najczęściej nie wynika wcale ze złej woli, lecz po prostu z dużej ilości pracy i skupienia na działaniach biznesowych, które przecież przynoszą wymierne korzyści finansowe. Z perspektywy przedsiębiorców RODO działa wręcz przeciwnie – generuje jedynie dodatkowe wydatki i „blokuje rozwój biznesu”. Dlatego też w wielu przypadkach wdrożenie nowych przepisów polegało na przygotowaniu własnymi siłami dokumentacji „zapewniającej zgodność”, bez dostosowania ich do indywidualnych potrzeb organizacji. Później o ochronie danych osobowych zapomniano. Niestety, takie podejście nie jest właściwe. Zapewnienie ochrony danych osobowych to proces ciągły, wymagający dostosowania do zmieniających się okoliczności. Warto też pamiętać, że w przypadku poważnego naruszenia zasad ochrony danych osobowych w danej organizacji, zostaje nadszarpnięty jej wizerunek, co może skutkować np. utratą zaufania klientów i ich odejściem do konkurencji. To z kolei zdecydowanie przełoży się na sytuację finansową firmy.
Co więc zrobić, aby wdrożenie zasad RODO w Twojej organizacji nastąpiło faktycznie, a nie tylko na papierze? Poniżej kilka naszych wskazówek:
- Przede wszystkim edukuj! Twoi pracownicy powinni wiedzieć, w jaki sposób chronić i przetwarzać dane osobowe, a także kiedy mają do czynienia z naruszeniem ochrony danych i do kogo się wówczas zgłosić. Istotne jest również uświadomienie im, że każdy może popełnić błąd i najważniejsze, by nie chować głowy w piasek, tylko jak najszybciej przekazać wszelkie istotne informacje do przełożonych. Z naszego doświadczenia wynika, że co najmniej 80% incydentów dotyczących ochrony danych osobowych spowodowanych jest przez błąd ludzki, dlatego ważne, aby pracownicy nie bali się ich Tobie zgłaszać!
- Bez współpracy z Twoimi ludźmi wdrożenie zasad ochrony danych osobowych nie dojdzie do skutku. Możesz powiedzieć: „ale przecież moi pracownicy nie będą czytali tych opasłych procedur”. Po pierwsze, może okazać się, że wcale nie potrzebujesz „tych opasłych procedur”. Mogłeś nie zweryfikować, czy te dokumenty są dostosowane do działalności Twojej firmy, lecz poprzestałeś na wdrożeniu „gotowców”. Po drugie, warto przygotować wyciąg z przyjętych procedur, tj. instrukcje dla poszczególnych działów w Twojej firmie, które będą zawierać najistotniejsze kwestie opisane w punktach, prostym językiem. Dla pracowników naszych klientów przygotowujemy tego typu „ściągi”, zarówno ogólne, jak i dedykowane dla poszczególnych procesów biznesowych (np. działania marketingowe, zamówienia publiczne, HR). Takie materiały zdecydowanie ułatwiają pracownikom zrozumienie zasad ochrony danych osobowych. Ważne, aby wszyscy nowi pracownicy od razu zostali z nimi zapoznani. Warto to wpleść w procedurę zatrudnienia – bez przeszkolenia i zapoznania się przynajmniej ze „ściągami” nie powinieneś nadawać takiej osobie upoważnienia do przetwarzania danych osobowych.
- Wyznacz osobę, która da Ci realne wsparcie w procesie zapewniania zgodności z RODO i innymi przepisami z zakresu ochrony danych osobowych. Może to być np. zewnętrzny lub wewnętrzny inspektor ochrony danych (IOD). Jeśli nie możesz sięgnąć po wsparcie specjalisty, który będzie zajmował się wyłącznie kwestiami dotyczącymi ochrony danych osobowych, wyznacz w firmie dedykowany do tych celów zespół. Ważne, aby wskazane osoby nie były przeciążone swoimi obowiązkami (jeśli kwestie związane z RODO mają być dodatkowymi zadaniami, np. obok czynności z zakresu HR czy IT) i mogły realnie czuwać nad aktualnością procesów przetwarzania danych w Twojej firmie.
- Pamiętaj, aby poinformować wszystkich pracowników o roli ww. osób i obowiązku współpracy z nimi. Pracownicy powinni wiedzieć, że każdy nowy proces wiążący się z przetwarzaniem danych osobowych lub zmiany w dotychczasowych procesach, powinny być zgłaszane do tych osób od razu, zanim jakiekolwiek rozwiązania zostaną wdrożone. Zwróć uwagę na zasadę ochrony danych w fazie projektowania! Włączenie IOD, czy innych osób wspierających wdrożenie RODO w Twojej organizacji, dopiero na etapie końcowym, jest naprawdę chybionym pomysłem. Często na tym etapie jest już za późno na zapewnienie zgodności z RODO. Odwrócenie tych procesów może okazać się niemożliwe lub wiązać się z bardzo dużymi kosztami. Naprawdę, dużo korzystniejsze będzie zaangażowanie wspomnianych osób na samym początku.
- Pamiętaj – IOD czy inna osoba wspierająca Cię w zapewnieniu zgodności działań biznesowych z RODO nie jest Twoim wrogiem. Jeśli dasz jej szansę, pomoże Ci znaleźć rozwiązania zgodne z przepisami prawa i możliwie najbardziej biznesowe. Aby to się jednak zadziało, włączaj te osoby we wszystkie procesy wiążące się z ochroną danych osobowych w firmie. Zapewnij im też swobodny kontakt z właścicielami poszczególnych procesów biznesowych, aby oni również współpracowali i zgłaszali swoje pomysły bezpośrednio do tej osoby.