iSecure logo
Blog

10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji.

Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów przy zapewnieniu zgodności z RODO. Wśród nich na pierwszym miejscu znalazło się właśnie „papierowe” wdrożenie. Oznacza to, że mimo sporządzenia i przyjęcia w organizacjach procedur ochrony danych osobowych, w praktyce pracownicy przetwarzający dane nie znają tych zasad, nie rozumieją ich, a w konsekwencji ich nie stosują. Może to w dłuższej perspektywie prowadzić do poważnych naruszeń ochrony danych osobowych, a także do nałożenia wysokich kar pieniężnych na przetwarzających dane.

Powyższe podejście najczęściej nie wynika wcale ze złej woli, lecz po prostu z dużej ilości pracy i skupienia na działaniach biznesowych, które przecież przynoszą wymierne korzyści finansowe. Z perspektywy przedsiębiorców RODO działa wręcz przeciwnie – generuje jedynie dodatkowe wydatki i „blokuje rozwój biznesu”. Dlatego też w wielu przypadkach wdrożenie nowych przepisów polegało na przygotowaniu własnymi siłami dokumentacji „zapewniającej zgodność”, bez dostosowania ich do indywidualnych potrzeb organizacji. Później o ochronie danych osobowych zapomniano. Niestety, takie podejście nie jest właściwe. Zapewnienie ochrony danych osobowych to proces ciągły, wymagający dostosowania do zmieniających się okoliczności. Warto też pamiętać, że w przypadku poważnego naruszenia zasad ochrony danych osobowych w danej organizacji, zostaje nadszarpnięty jej wizerunek, co może skutkować np. utratą zaufania klientów i ich odejściem do konkurencji. To z kolei zdecydowanie przełoży się na sytuację finansową firmy.

Co więc zrobić, aby wdrożenie zasad RODO w Twojej organizacji nastąpiło faktycznie, a nie tylko na papierze? Poniżej kilka naszych wskazówek:

  • Przede wszystkim edukuj! Twoi pracownicy powinni wiedzieć, w jaki sposób chronić i przetwarzać dane osobowe, a także kiedy mają do czynienia z naruszeniem ochrony danych i do kogo się wówczas zgłosić. Istotne jest również uświadomienie im, że każdy może popełnić błąd i najważniejsze, by nie chować głowy w piasek, tylko jak najszybciej przekazać wszelkie istotne informacje do przełożonych. Z naszego doświadczenia wynika, że co najmniej 80% incydentów dotyczących ochrony danych osobowych spowodowanych jest przez błąd ludzki, dlatego ważne, aby pracownicy nie bali się ich Tobie zgłaszać!
  • Bez współpracy z Twoimi ludźmi wdrożenie zasad ochrony danych osobowych nie dojdzie do skutku. Możesz powiedzieć: „ale przecież moi pracownicy nie będą czytali tych opasłych procedur”. Po pierwsze, może okazać się, że wcale nie potrzebujesz „tych opasłych procedur”. Mogłeś nie zweryfikować, czy te dokumenty są dostosowane do działalności Twojej firmy, lecz poprzestałeś na wdrożeniu „gotowców”. Po drugie, warto przygotować wyciąg z przyjętych procedur, tj. instrukcje dla poszczególnych działów w Twojej firmie, które będą zawierać najistotniejsze kwestie opisane w punktach, prostym językiem. Dla pracowników naszych klientów przygotowujemy tego typu „ściągi”, zarówno ogólne, jak i dedykowane dla poszczególnych procesów biznesowych (np. działania marketingowe, zamówienia publiczne, HR). Takie materiały zdecydowanie ułatwiają pracownikom zrozumienie zasad ochrony danych osobowych. Ważne, aby wszyscy nowi pracownicy od razu zostali z nimi zapoznani. Warto to wpleść w procedurę zatrudnienia – bez przeszkolenia i zapoznania się przynajmniej ze „ściągami” nie powinieneś nadawać takiej osobie upoważnienia do przetwarzania danych osobowych.
  • Wyznacz osobę, która da Ci realne wsparcie w procesie zapewniania zgodności z RODO i innymi przepisami z zakresu ochrony danych osobowych. Może to być np. zewnętrzny lub wewnętrzny inspektor ochrony danych (IOD). Jeśli nie możesz sięgnąć po wsparcie specjalisty, który będzie zajmował się wyłącznie kwestiami dotyczącymi ochrony danych osobowych, wyznacz w firmie dedykowany do tych celów zespół. Ważne, aby wskazane osoby nie były przeciążone swoimi obowiązkami (jeśli kwestie związane z RODO mają być dodatkowymi zadaniami, np. obok czynności z zakresu HR czy IT) i mogły realnie czuwać nad aktualnością procesów przetwarzania danych w Twojej firmie.
  • Pamiętaj, aby poinformować wszystkich pracowników o roli ww. osób i obowiązku współpracy z nimi. Pracownicy powinni wiedzieć, że każdy nowy proces wiążący się z przetwarzaniem danych osobowych lub zmiany w dotychczasowych procesach, powinny być zgłaszane do tych osób od razu, zanim jakiekolwiek rozwiązania zostaną wdrożone. Zwróć uwagę na zasadę ochrony danych w fazie projektowania! Włączenie IOD, czy innych osób wspierających wdrożenie RODO w Twojej organizacji, dopiero na etapie końcowym, jest naprawdę chybionym pomysłem. Często na tym etapie jest już za późno na zapewnienie zgodności z RODO. Odwrócenie tych procesów może okazać się niemożliwe lub wiązać się z bardzo dużymi kosztami. Naprawdę, dużo korzystniejsze będzie zaangażowanie wspomnianych osób na samym początku.
  • Pamiętaj – IOD czy inna osoba wspierająca Cię w zapewnieniu zgodności działań biznesowych z RODO nie jest Twoim wrogiem. Jeśli dasz jej szansę, pomoże Ci znaleźć rozwiązania zgodne z przepisami prawa i możliwie najbardziej biznesowe. Aby to się jednak zadziało, włączaj te osoby we wszystkie procesy wiążące się z ochroną danych osobowych w firmie. Zapewnij im też swobodny kontakt z właścicielami poszczególnych procesów biznesowych, aby oni również współpracowali i zgłaszali swoje pomysły bezpośrednio do tej osoby.
Pobierz wpis w wersji pdf

Podobne wpisy:

6 sprawdzonych sposobów na edukację pracowników z zakresu RODO

„Nie takie ważne, żeby człowiek dużo wiedział, ale żeby dobrze wiedział; nie żeby umiał na pamięć, a żeby rozumiał; nie żeby go wszystko troszkę obchodziło, a żeby go coś naprawdę zajmowało.” –Janusz Korczak Myślę, że to trafne spostrzeżenie można śmiało przenieść na grunt tego, czym zajmuję się na co dzień, czyli przepisów o ochronie danych […]

Weryfikowanie kontrahentów, a kwestie ochrony danych osobowych

W dzisiejszych czasach bardzo ważne jest, by posiadać wiedzę w zakresie rynku, na którym świadczy się usługi. Tutaj zawsze pojawia się wątpliwość jak takie dane pozyskiwać oraz jak sprawdzić, czy aktualna sytuacja kredytowa, biznesowa, czy też gospodarcza przyszłych kontrahentów może wpłynąć na nasze przedsiębiorstwo. Aktualnie wiele podmiotów gospodarczych prowadzi tzw. „biały wywiad gospodarczy”. Niejednokrotnie jest […]

Jak realizować żądania podmiotów danych zgodnie z RODO? Praktyczne wskazówki

W obliczu dynamicznego rozwoju technologii i cyfrowego przekształcenia współczesnego społeczeństwa, ochrona danych osobowych przyjęła nową, kluczową rolę. Ogólne rozporządzenie o ochronie danych (RODO), wprowadzone w maju 2018 roku, ustala ramy i zasady dotyczące gromadzenia, przetwarzania oraz przechowywania danych osobowych w Unii Europejskiej. Jednym z centralnych elementów RODO są prawa podmiotów danych do składania żądań dotyczących […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki