Wywiad z ekspertem – Audyt RODO

  • RODO

Wywiad z ekspertem – Audyt RODO dla SageAcademy.pl

Zobacz co ekspert mówi o audycie RODO?  Czy  audyt jest konieczny, żeby przygotować się do RODO? Ile czasu potrzeba na audyt? Czy wystarczy zaprosić audytora i co zrobić z wynikami.  Na te pytania odpowiada Tomasz Mamys, ekspert Sage To MUSISZ wiedzieć o RODO!

 Tomasz_Mamys

Tomasz Mamys

Ekspert Sage
Doświadczony menadżer sprzedaży, trener wewnętrzny, aktualnie prowadzi  i koordynuje projekty przygotowania Sage w Polsce do wymagań RODO.

 

SageAcademy: Wiele firm odkłada przygotowania do RODO ze względu na dość odległy termin, kiedy firmy powinny rozpocząć wprowadzanie procedur zgodnych z RODO?

Tomasz Mamys: Odległy termin ? Pozostało już mniej niż 100 dni! Specjaliści uważają, że – oczywiście w zależności od wielkości przedsiębiorstwa, ilości procesów  – cały projekt przygotowujący do 25.05., czyli dnia wymagalności i początku egzekucji zgodności z RODO, może potrwać 3 miesiące albo i dłużej…  Absolutnie nie ma na co czekać!

 

Czy RODO = Audyt?

Tak i nie 🙂 Od audytu należy rozpocząć – bez szczegółowej analizy sytuacji i procesów w przedsiębiorstwie, która pokaże w ilu miejscach, ile osób, w jakim zakresie, na jakiej podstawie,
w jakim czasie, itd. przetwarza dane osobowe – nie będziemy w stanie odpowiedzieć sobie na podstawowe pytanie: co musze zrobić, by 25 maja być zgodnym z RODO ? Ale to dopiero początek…

 

Jak przygotować się do audytu RODO? Czy wystarczy zaprosić audytora? – masz wiedzę, że nie wystarczy? Jak wygląda taki audyt? Ile czasu może zajmować audyt?

Audyt to projekt – trzeba powołać szefa i zespół projektowy, wyznaczyć cele, harmonogram prac. Niezależnie od tego czy firma zatrudnia 5 czy 500 pracowników. Oczywiście – trzeba wybrać audytora: podpowiadam, że najlepiej, by nie była to firma, która np.: dotychczas świadczyła nam usługi ABI (Administrator Bezpieczeństwa Informacji), bo byłby on sędzią we własnej sprawie. Zwracam też uwagę na to, by wybrać firmę z odpowiednią wiedzą i doświadczeniem. Na rynku w tej chwili powstaje wiele firm, które o RODO wiedzą… tyle co właśnie przeczytali. Warto wybrać firmę która łączy w sobie wiedzę prawniczą z doświadczeniem ABI.

Różne firmy mają różne metodyki prowadzenia projektu: ważne, by audyt objął sobą wszystkie procesy prowadzone w firmie, chociażby po to, by wykluczyć ich styczność z danymi osobowymi.
To przy okazji może być również proces uporządkowania tych procesów w organizacji.

Czas trwania audytu jest oczywiście uzależniony od tego ile procesów zostaje poddanych weryfikacji, ilu ludzi uczestniczy w projekcie, ile danych osobowych firma przetwarza… Z naszego doświadczenia – dużej firmy – od rozpoczęcia do prezentacji upłynęły 2 miesiące….

Mam wyniki audytu! Co dalej?

Tak jak powiedziałem – to dopiero początek! Bo teraz dopiero rozpoczyna się żmudna praca mająca na celu wdrożenie rekomendacji audytu w życie organizacji, tak, by 25 maja, ale także 25 lipca, za rok i za dwa lata firma była zgodna z RODO…

Bo RODO wprowadza zasadniczą zmianę kultury w obszarze przetwarzania danych osobowych.

Dotychczasowa, ciągle jeszcze obowiązująca, polska Ustawa o chronię danych osobowych z 1997r., wraz z aktami wykonawczymi (UODO) bazowała tak naprawdę na kulturze szablonów. Firmy przyjmowały bowiem wzorcowe polityki ochrony danych osobowych, wzorcowe instrukcje zarządzania systemami informatycznymi, przeprowadzały wzorcowe szkolenia, traktując wszystkie te działania jako kolejny obowiązek pośród innych do zrobienia dla polskiego przedsiębiorcy.

Można zaryzykować stwierdzenie, że… łatwo już było. UODO bowiem wprost definiowała to, że każdy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem i w ściśle oznaczonym celu, żeby były merytorycznie poprawne i adekwatne w stosunku do tego celu, jak również przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Ponadto, dane osobowe winny być przetwarzane wyłącznie w ściśle określonych sytuacjach, w tym np. po uzyskaniu zgody osoby, której dane dotyczą, bądź gdy jest to konieczne dla realizacji umowy lub wypełnienia prawnie usprawiedliwionych celów.

RODO natomiast – prezentuje zupełnie nowe podejście w tym zakresie: opiera się na całkowicie odmiennych założeniach.

RODO za pomocą nowych mechanizmów i instytucji niejako wpisuje ochronę danych osobowych w funkcjonowanie podmiotów przetwarzających dane, a intensywność zmiany jest tym większa, im bardziej podmiot opiera swoją działalność właśnie na przetwarzaniu danych osobowych.

Najważniejszym elementem tej zmiany jest podejście oparte na ryzyku, które wymusza na administratorach i podmiotach przetwarzających szacowanie ryzyka związanego z przetwarzaniem danych, a także dobór stosownych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (patrz: art. 24 i 32 RODO).

Reguła ta jest wspierana zasadą rozliczalności. Mówi ona o konieczności: przyjęcia odpowiednich środków organizacyjnych i technicznych adekwatnych do ryzyka, a także możliwości wykazania spełnienia wymagań nakładanych mocą RODO.

W praktyce oznacza to, że małe firmy mogą posiadać dokumentację w bardzo uproszczonej formie i opierać się na przyjętych, nawet ustnie, procedurach. Dla dużych firmy, często o złożonej strukturze, oznacza to konieczność wypracowania pełnej i przejrzystej dokumentacji.

To właśnie konsekwencja przyjęcia przez RODO podejścia opartego na ryzyku, a więc pewnej swobody pozostawionej administratorom i podmiotom przetwarzającym, którą wyrazić można kolokwialnym nakazem: zrób tak, by było dobrze ! Ale – co bardzo ważne: bądź w stanie wykazać, że to co zrobiłeś jest dobre i uzasadnij dlaczego tak jak zrobiłeś, jest dobrze. (patrz: art. 5 ust. 2 RODO). Ograniczenia przechowania danych, zasada integralności i poufności danych, zasada rozliczalności)

Na gruncie RODO firmy w swoich wewnętrznych procedurach muszą zacząć dostrzegać i uwzględniać kwestie przetwarzania danych osobowych, na każdym z etapów prowadzonej działalności: od planowania, pierwszego kontaktu z osobami których dane dotyczą, poprzez świadczenie usług, dostawy towaru, prowadzenie działalności marketingowej lub innej działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, aż po  usuwanie danych wtedy, gdy nie są już niezbędne do celu, dla którego realizacji zostały zebrane.

Bo RODO niejako wymusza proaktywne i prewencyjne podejście do ochrony danych osobowych.

 

Jak widać – wdrożenie RODO nie sprowadza się już do należytej staranności ADO, zrealizowanej poprzez proste dostosowanie dokumentacji, ale stanowi projekt całej firmy, niezależnie od tego czy to mała, średnia, czy duża firma. RODO wymusza na firmach zmianę sposobu podejścia i myślenia o danych osobowych: to ciągłą świadomość ryzyka związanego z możliwym naruszeniem praw i wolności osób fizycznych.

Można by nawet zaryzykować stwierdzenie, że podstawową i najważniejszą przesłanką należytej staranności na gruncie RODO jest… wejście w sam proces analizy i wdrożenia RODO w firmie !

 

Jak to więc zrobić, by być gotowym?

Na przykład tak, jak proponuje Ministerstwo Przedsiębiorczości i Technologii w swoim Przewodniku po RODO dla MŚP – w oparciu o następujący scenariusz:

  1. Zidentyfikować procesy przetwarzania danych osobowych, czyli omówiony już audyt.
  2. Zweryfikować podstawowe parametry procesów przetwarzania danych
  3. Wdrożyć podejście oparte na ryzyku
  4. Przeprowadzić procedury oceny skutków dla ochrony danych
  5. Zidentyfikować i zarządzić powierzeniem przetwarzania danych
  6. Zastosować się do nowych praw osób, których dane dotyczą
  7. Określić działania na wypadek incydentu bezpieczeństwa

Szczegóły: http://www.mpit.gov.pl/strony/aktualnosci/przewodnik-po-rodo-dla-msp/

 

I to… wystarczy?

Do startu ze zgodnością RODO, 25 maja: tak.

Ale – RODO do proces: tak jak to już powiedziałem – firma musi być zgodna z RODO codziennie i ciągle, musi się samodoskonalić w dbałości i ochronie danych osobowych, które przetwarza, musi zadbać o należytą ochronę już na etapie projektowania procesów, aplikacji, czy projektów, musi stale podnosić świadomość i wiedzę wśród swoich pracowników, którzy tych danych dotykają… I tu bardzo ważne są szkolenia: bo, nawet najdoskonalszy audyt i wdrożenie nie zapobiegnie incydentom bezpieczeństwa, gdy pracownicy nie będą wiedzieli jak postępować, zachować się w każdej sytuacji gdy pracują z danymi osobowymi, także – swoimi…

 

e-rodo