Wdrożenie RODO w 12 krokach (+plan wdrożenia)

Wdrożenie RODO jest projektem złożonym i wielowymiarowym, angażującym praktycznie całą organizację. Droga do zgodności z RODO nie jest prosta i wbrew powszechnej opinii nie polega tylko na uzupełnieniu i podpisaniu dokumentacji. W tym artykule prezentujemy nasze podejście do wdrożenia RODO, skuteczne w większości organizacji, co oczywiście nie czyni jej jedyną słuszną. Należy pamiętać, że dopasowanie projektu wdrożenia RODO powinno być dokonane w odniesieniu do działalności organizacji, a także jej możliwości finansowych oraz organizacyjnych. Poniżej przedstawiamy jednak trzynaście uniwersalnych kroków, które powinno się wykonać wdrażając RODO.

KROK 1 Czy leci z nami Inspektor?

Pierwszym ważnym pytaniem na które powininna odpowiedzieć sobie organizacja jest pytanie: czy musi lub chce powołać Inspektora Ochrony Danych? Co do zasady powołanie inspektora ochrony danych osobowych jest dobrowolne istnieją jednak trzy wyjątki kiedy organizacja musi tego dokonać.

To pytanie powinno być zadane na samym początku, ponieważ bardzo ważne jest aby przyszły inspektor ochrony danych brał udział w całości prac wdrożeniowych. Jest to niezbędne do tego, aby dokładnie poznał specyfikę działalności firmy, a także zgodnie ze swoim przekonaniem dobrał odpowiednie rekomendację do tworzonego systemu ochrony danych, który będzie miał obowiązek nadzorować.

KROK 2 Czy potrzebujemy zewnętrznego wsparcia?

Drugim ważnym pytaniem jest to czy organizacja będzie wdrażać RODO samodzielnie czy  we współpracy z firmą zewnętrzną?
Decyzja o samodzielnym wdrożeniu RODO powinna być poprzedzona wcześniejszą analizą posiadanych kompetencji w zespole. W szczególności powinno się zwrócić uwagę na to czy oprócz wiedzy czysto organizacyjnej oraz projektowej w firmie znajdują się także kompetencje o charakterze zarówno prawnym czy informatycznym.

Należy również ustalić czy w organizacji jest niezbędna wiedza z zakresu prawa ochrony danych osobowych oraz czy nie należałoby jej uaktualnić np. poprzez szkolenie z ochrony danych osobowych. Szkolenie zewnętrzne dla osób odpowiedzialnych za wdrożenie RODO może być przeprowadzone jako szkolenie otwarte razem z uczestnikami z innych firm. Firma może również rozważyć czy nie przeprowadzić szkolenia zamkniętego dla osób wdrażających RODO. Informacje uzyskane na szkoleniu zamkniętym będą na pewno bardziej dopasowane do specyfiki działalności firmy.

Wdrożenie RODO z pomocą firmy zewnętrznej

Jeżeli firma po przeprowadzonej analizie kompetencji uzna, że nie posiada wystarczającej wiedzy oraz niezbędnych umiejętności, aby samodzielnie wdrożyć RODO powinna rozważyć współpracę z zewnętrznymi ekspertami. Plusami takiej współpracy jest to, że firmy te dysponują często wiedzą nie tylko w zakresie metodologii wdrożenia, ale także znajomością funkcjonowania systemów ochrony danych osobowych w praktyce. Są też w stanie przewidzieć problemy organizacyjne jeszcze przed ich wystąpieniem, a także dysponują wiedzą jak je usunąć.

Jakie kryteria powinno się brać pod uwagę wybierając firmę świadczącą usługi z zakresu ochrony danych osobowych?

Po pierwsze powinno się wziąć pod uwagę to czy dana firma posiada realne doświadczenia w zakresie wdrożenia RODO. W związku z boomem RODO wiele firm rozpoczęło rozszerzanie swojej działalności również o doradztwo w tym zakresie. Często jednak nie posiadając odpowiednich kompetencji lub też wiedzy, aby zapewnić niezakłócony przebieg wdrożenia dla organizacji oraz nie niszczyć obecnie funkcjonujących procesów, jednocześnie zapewniając wysoki poziom bezpieczeństwa prawnego. Efektem wyboru nieodpowiedniej firmy mogą być wdrożenia tzn. absurdów RODO, które są efektem ultrabezpiecznego doradztwa nie biorącego pod uwagę kontekstu prowadzonej działalności.

Kolejnym kryterium wyboru powinna być logiczna koncepcja, a także sprawdzona metodologia wdrożenia RODO w organizacji.  Wiąże się to również z tym doświadczeniem firmy we wdrażaniu RODO w określonej branży. Ocena współpracy powinna być podjęta po ustaleniu zakresu wsparcia firmy zewnętrznej podczas wdrożenia.  Zdarzają się bowiem sytuacje w których firmy wyłącznie przekazują dokumentację ze zmienionymi nazwami firmy tłumacząc, że jej wdrożenie jest jedynym obowiązkiem ciążącym na organizacji.

Dodatkowo można ocenić współpracę poprzez pryzmat zaplecza technologicznego jakim dysponuję firma. Warto sprawdzić czy posiada ona system wspierający wdrażanie i utrzymywanie nadzoru nad ochroną danych, a także narzędzi umożliwiających budowanie świadomości pracowników organizacji. Warto też ustalić możliwość dalszego wsparcia w zakresie utrzymania systemu ochrony danych osobowych już po samym zakończeniu wdrożenia RODO.

Wdrożenie RODO z drobną pomocą

Modelem pośrednim pomiędzy dwoma powyższymi jest samodzielne wdrożenie RODO, ale z drobną pomocą zewnątrz. Firma może podjąć decyzję o samodzielnym wdrażaniu, ale warto żeby posiadała już jakieś materiały, które będzie mogła samodzielnie dostosować, aby niepotrzebnie nie wymyślać “koła na nowo”. W tym zakresie można rozważyć zakup dostępu do platform szkoleniowych wspierających przeprowadzenie krok po kroku wdrożenia RODO w trybie e-learningowym, a także rozważanie zakupu dokumentacji,  którą następnie firma samodzielnie dostosowuje pod swój model prowadzenia działalności gospodarczej. Również i przy wyborze wsparcia w tym zakresie powinniśmy się kierować tymi samymi kryteriami o których pisałem powyżej.

KROK 3 Grupa robocza ds. wdrożenia RODO

Wdrożenie RODO nie jest projektem dla jednej osoby, a jest wyzwaniem dla całej organizacji. Dlatego też kolejnym krokiem powinno być sformułowanie grupy roboczej, czyli zespołu osób które będą odpowiedzialne za wdrożenie RODO w poszczególnych działach prowadzonej działalności.

Członkami zespołu wdrożeniowego RODO powinni być przedstawiciele kluczowych działów przetwarzających dane osobowe w szczególności HR, obsługi klienta, marketingu, sprzedaży, księgowości/finansów oraz windykacji. Obowiązkowo w zespole muszą znaleźć się także przedstawiciele działu IT oraz inspektor ochrony danych (o ile został powołany). Dobór członków zespołu wdrożeniowego w dużej mierze jest uzależniony od branży i profilu działalności, a także struktury organizacyjnej firmy.

KROK 4 Audyt

Rozpoczęcie prac wdrożeniowych powinno być poprzedzone dogłębnym badaniem i identyfikacją procesów funkcjonujących w organizacji.  Najlepszym sposobem do dokonania tego jest przeprowadzanie audytu otwarcia.  Audyt ten polega na:

  • Po pierwsze inwentaryzacji procesów, w których przetwarzane są dane osobowe;
  • Po drugie ocenie ich zgodności z RODO.

KROK 4.a Inwentaryzacja czynności przetwarzania

Pierwszym etapem audytu otwarcia jest przeprowadzenie inwentaryzacji  procesów (czynności) w których przetwarzane są dane osobowe. Czynności czy też procesy powinny być identyfikowane jako zespół działań nakierowanych na realizację poszczególnych celów biznesowych w których przetwarza się dane osobowe. Podczas inwentaryzacji powinniśmy w stosunku do każdej czynności odpowiedzieć na następujące pytania:

  • W jakim celu przetwarzam dane?
  • Kim są te osoby, których dane przetwarzam (naszymi klienta, pracownikami itp.)?
  • Jakie dane w związku z przetwarzaniem zbieramy?
  • Czy posiadamy na to podstawy prawne?
  • Jak długo przechowujemy dane?
  • Gdzie zbieramy te dane lub od kogo je otrzymujemy?
  • Komu przekazujemy dane i w jakim celu?
  • Czy dane mogą być przekazywane poza UE oraz obszar Europejskiego Obszaru Gospodarczego?
  • Na jakich aktywach (dokumenty, systemy informatyczne, komputery) znajdują się te dane.
  • Jakie obecnie stosujemy zabezpieczenia w stosunku to tych aktywów?

Wybrane informacje powinny zostać umieszczone we wstępnym rejestrze czynności przetwarzania danych osobowych w formie matrycy czynności przetwarzania danych osobowych. Ułatwi to nam późniejsze zarządzanie nimi, a także przyśpieszy wdrożenie m.in. tworzenie klauzul informacyjnych oraz umów powierzenia.

KROK 4.b Ocena zgodności

Po ustaleniu stanu faktycznego, które było dokonane podczas inwentaryzacji możemy przejść do oceny czy czynności które wylistowaliśmy są zgodne z RODO. Oceny zgodności możemy podzielić na dwa główne obszary.  Pierwszym z nich jest badanie wymogów formalno-prawnych.  Drugim natomiast jest ocena ogólnego ryzyka. W ramach badania formalno-prawnego będziemy oceniali następujące rzeczy:

  • Czy posiadamy podstawę prawną do przetwarzania danych (np. zgodę, zawarta umowę lub obowiązek wynikającyc z prawa) w celu dla którego je przetwarzamy? Dotyczy to zarówno celów dla których te dane zebraliśmy, jak i tych, które powstały już po ustaniu tych pierwotnych celów.
  • Czy wszystkie dane są nam niezbędne do tego, aby zrealizować cel w jakim przetwarzamy dane czyli czy nie zbieramy danych, które są nam niepotrzebne.
  • Czy nie przechowujemy za długo tych danych (np. mamy jeszcze faktury sprzed 15 lat)?
  • Czy mamy odpowiednie podstawy prawne po przekazania innym podmiotom danych lub czy stosujemy odpowiednie zabezpieczenia przy tym?
  • Czy odpowiednio informujemy osoby o przetwarzaniu ich danych?
  • Czy odpowiednio realizujemy prawa tych osób?

Na tym etapie powinniśmy również ocenić czy posiadana przez nas dokumnetacja odzwierciedla stan faktyczny. Dodatkowo też powinniśmy ocenić czy nasze systemy informatyczne umożliwiają realizację praw osób, których dotyczą (np. prawa do przenoszenia danych, ograniczenia lub prawo do bycia zapomnianym)

Jeżeli chciałbyś, aby ten etap był dobrze i bezstronnie przeprowadzony warto rozważyć skorzytanie z usług zewnętrznego audytu RODO. Więcej na temat tego jak przeprowadzić audyt RODO znajdziesz tutaj.

KROK 5 Ogólna ocena ryzyka i DPIA

Kolejnym etapem powinno być przyjęcie metodologii oceny ryzyka związanego z przetwarzanie danych osobowych. Podczas oceny ryzyka przetwarzania powinny być brane pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Podczas samej  oceny ryzyka naruszenia praw i wolności osób fizycznych powinny zostać uwzględnione nie tylko kwestie związane z bezpieczeństwem informacji, ale również elementy o charakterze prawnym  (np. możliwość naruszenia zasad przetwarzania danych osobowych określonych w art. 5 RODO czy też podstawowy praw osób, których dane dotyczą).

Ocena ryzyka przetwarzania danych osobowych powinna być dokonywana w stosunku do całych czynności przetwarzania danych osobowych. Natomiast ocena ryzyka związana z bezpieczeństwem informacji powinna być dokonywana w stosunku do określonych aktywów.

W zakresie oceny ryzyka bezpieczeństwa informacji można posiłkować się międzynarodowymi normami ISO 27005, a także ISO 31000. Przeprowadzona ocena ryzyka powinna nam wykazać poziom ryzyka związany z  przetwarzaniem danych osobowych. W stosunku do tego poziomu będziemy wybierali również odpowiedni stopień zabezpieczeń zarówno prawnych, organizacyjnych, a także technicznych i technologicznych.

W przypadku jednak, gdy poziom ocenianego przez nas ryzyka będzie wskazywał na wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą wówczas niezbędne będzie przeprowadzenie oceny skutków dla ochrony danych osobowych (ang. DPIA). Dodatkowo Prezes Urzędu Ochrony Danych Osobowych opublikował komunikat ze wskazaniem, które z czynności powinny podlegać obowiązkowej DPIA (wykaz znajduje się tutaj).

DPIA powinna obejmować:

  • opis przewidywanego przetwarzania,
  • ocenę niezbędności i proporcjonalności,
  • środki przewidziane dla zapewnienia zgodności,
  • ocenę ryzyka naruszenia praw i wolności,
  • środki przewidziane w celu zaradzenia ryzyku,
  • dokumentację oraz monitorowanie i przegląd.

Jeśli organizacja chce przetwarzać dane osobowe w okreslony przez siebie sposób, a ryzyko z tym związane jest wysokie i nie da się go już ograniczyć, musi wówczas skonsultować się z organem nadzorczym (tzw. uprzednie konsultacje w trybie art. 36 RODO). Należy jednak pamiętać, że DPIA trzeba wykonać jeszcze przed rozpoczęciem przetwarzania danych osobowych w określony sposób.

Organizacja w zakresie przeprowadzenia DPIA powinna w tym zakresie posiłkować się dostępnymi wytycznymi WP248 Grupy Roboczej Art. 29 – dawnej Europejskiej Rady Ochrony Danych – dotyczącymi oceny skutków dla ochrony danych oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”) oraz dobrymi praktykami, jak normą ISO 29134.

KROK 6 Zmiany w funkcjonujących czynnościach

Kolejnym etapem wdrożenia jest dostosowanie istniejących u nas czynności do zgodności z RODO. Przeprowadzona w toku audytu inwentaryzacja a także późniejsza ocena czynności przetwarzania danych osobowych umożliwiają nam wskazanie czynności, które powinny podlegać dostosowaniu do RODO. W zakresie dostosowania czynności możemy wskazać zapewnienie ważnych podstaw prawnych do przetwarzania danych osobowych. W niektórych przypadkach niezbędne będzie w związku z tym zebranie nowych zgód, które spełniają warunki określone w RODO. W innych natomiast czynnościach ustalenie uprawnionego interesu na podstawie którego będziemy przetwarzać te dane osobowe. Oczywiście to nie są jedyne podstawy prawne, które umożliwiają przetwarzanie danych osobowych.  Wszystkie podstawy prawne wymienione są w art. 6 i art. 9 RODO.

Następnym krokiem, który powinniśmy podjąć jest przygotowanie klauzul obowiązków informacyjnych, które będą umieszczone w miejscach w których zbierane są dane osobowe.  Przykładami takich miejsc mogą być formularze kontaktowe, miejsca zapisu na newsletter,  formularze rejestracyjne w sklepach internetowych  i wszystkie inne miejsca w których osoby której dane dotyczą mogą pozostawić dane osobowe. Zakres informacji który powinien być przekazany w obowiązku informacyjnym określa art. 13 i art. 14 RODO. Zakres tych informacji jest dośyć szeroki dlatego też powinno rozważyć się umieszczanie obowiązków informacyjnych w politykach prywatności, a w  miejscach zbierania danych umieszczać tylko informację o tym kto jest administratorem danych , w jakim celu i na jakiej podstawie będą przetwarzane dane.

Pamiętać również trzeba o tym, że należy przekazać trochę więcej informacji (np. informacje o źródłe) w przypadku, gdy pozyskujemy te dane osobowe od naszych kontrahentów lub zbieramy je w miejscach powszechnie dostępnych. Po przygotowaniu klauzul informacyjnych powinniśmy również przekazać je osobom, których dane osobowe przetwarzamy, a nigdy dotąd nie był spełniany w stosunku do nich obowiązek informacyjny.

Kolejną kwestią jest usunięcie danych osobowych wykraczających poza zakres niezbędny nam do realizacji celu w jakim te dane zebraliśmy.  Przykładowo może być to usunięcie numerów PESEL z zamówień klientów dokonywany w sklepie internetowym.

 Ograniczenie zakresu powinno polegać:

  • po pierwsze na dostosowaniu formularzy, wzorów czy też pól w systemie informatycznym, aby w tych miejscach były zbierane tylko dane nam niezbędne.
  • po drugie na usunięciu już zebranych danych, które wykraczają poza ustalony przez nas zakres. Nie oznacza to jednak że musimy niszczyć całą dokumentację na której znajdują się te dane osobowe. Oznacza to jednak to, że musimy wybrakować pewne rubryki, bądź pola z informacjami do przetwarzania których nie posiadamy podstawy prawnej.

Dodatkowo oprócz tego niezbędne jest usunięcie całych zestawów danych osobowych przykładowo na dokumentach w stosunku do których nie ma już podstawy do przechowywania tych danych. Przykładem może być usunięcie starych faktur, które mają więcej niż 6 lat.

KROK 7 Zabezpieczenia oraz zmiany w systemach

Kolejnym krokiem, który powinniśmy podjąć są zmiany zarówno w zabezpieczeniach danych osobowych, ale również zmiany w funkcjonalnościach systemów informatycznych.

Wynikiem analizy ryzyka powinnien być plan postępowania z ryzykiem na którego podstawie przygotujemy plan dostosowania zabezpieczeń. To właśnie ten plan będzie stanowił dla nas mapę drogową do wdrożenia potrzebnych zabezpieczeń.

Dostosowanie zabezpieczeń powinno polegać na wdrożeniu zabezpieczeń nie tylko o charakterze technologicznym. Powinniśmy pamiętać o następujących zabezpieczeniach:

  • organizacyjnych np. regulaminach, politykach opisujących procesy ochrony danych osobowych, systemu upoważnień i uprawnień;
  • prawnych np. umowach powierzenia oraz oświadczenach o zachowaniu poufności
  • fizycznych umieszczeniu zamykanych szafek,  monitoringu,  ograniczenia dostępu do stref w których przetwarzane są dane osobowe.
  • technologicznych np. wykonywanie kopii zapasowych,  instalacji  oprogramowania antywirusowego, wdrożenie systemów umożliwiajćych analizę nieuprawnionego dostępu do danych.

Należy pamiętać, że zastosowane zabezpieczenia powinny zapewniać obniżenie ryzyka związanego z  utratą poufności, integralności lub też dostępności dla aktywów w stosunku do których są stosowane.

KROK 8 Realizacja praw osób

Kolejnym krokiem jest dostosowanie systemów informatycznych pod względem realizacji praw osób których dane dotyczą. To jakie funkcjonalności powinien posiadać system jest ustalane na podstawie tego z jakich czynności przetwarza się w nim dane osobowe. Prawa osób, których dane dotyczą są określone w art. 15 do art. 23 RODO. Najczęściej jednak realizowanymi w systemach informatycznych prawami są prawo do przenoszenia danych osobowych,  prawo do ograniczenia danych osobowych,  prawo wniesienia sprzeciwu od przetwarzania danych osobowych,  prawo wycofania zgody na przetwarzanie danych  czy prawo dostępu do danych oraz ich zmiany.

KROK 9 Dokumentacja

RODO nie zawiera praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych nie jest zobligowany do posiadania dokumentacji w tym zakresie. RODO, nie określając formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, daje tym samym dużą swobodę w tym zakresie administratorom danych. Brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (…) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi.

Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania są:

  • prowadzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust. 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

 Przykładami dokumentów, które moga być potrzebne dla wykazania rozliczalności w organizacji są:

  • Polityki bezpieczeństwa danych osobowych (informacji);
  • Procedury oceny przetwarzania danych osobowych;
  • Procedury DPIA (ocena skutków dla ochrony danych osobowych);
  • Procedury zarządzania incydentami danych osobowych;
  • Procedury realizacji praw osób, których dane dotyczą;
  • Procedurę transferu danych do państwa trzeciego;
  • Procedury powierzenia oraz oceny podmiotów przetwarzających;
  • Procedury udostępniania danych osobowych;
  • Rejestr czynności przetwarzania danych osobowych;
  • Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Należy jednak podkreslić, że od analizy ryzyka i oraz sposobu funkcjonowania organizacji zależeć będzie jaką dokumnetacje powinno się wdrożyć .

KROK 10 Ocena i zawarcie umów powierzenia

W stosunku do podmiotów, które przetwarzają w naszym celu dane osobowe, powinno się zawrzeć odpowiednie umowy powierzenia danych osobowych, albo dostosować zawarte już umowy do wymogów RODO określonych w art. 28 RODO. Można tego dokonać aneksem obecnie zawartych umów powierzenia lub umów głównych.

Na gruncie RODO administratorzy są też zobowiązani dokonywać faktycznej oceny, czy ich kontrahenci spełniają wspomniane gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. Niezależnie od oceny faktycznej, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), organizacja powinna być w stanie wykazać, że dokłada należytej staranności przy wyborze kontrahentów (np. przez posiadanie odpowiednich postanowień w procedurach) oraz że taka ocena jest w istocie dokonywana (np. odebranie określonych oświadczeń).

KROK 11 Szkolenia

Ostatnim etapem jest przeszkolenie pracowników. Szkolenia powinny być przeprowadzone w odniesieniu do tego jak RODO jest realizowane w naszej firmie, a nie tylko wymogów prawnych przez niego stawianych. Najefektwniej jest przeprowadzać odrębne szkolenia dla każdego z działów/ rodzajów działalności z osobna. Na pewno powinno rozważyć się oddzielne szkolenia dla pracowników kadr i dla osób zajmujących się marketingiem. Szkolenia takie może przeprowadzić też firma zewnętrzna. Przeszkolenie dużych grup pracowników, których obowiązki są tylko pobocznie związane z ochroną danych osobowych może być dokonane za pomocą e-learningu RODO.

KROK 12 Audyt końcowy

Ostatnim etapem wdrożenia niczym wisienka na torcie powinien być audyt końcowy. Podczas tego audytu oceniamy czy zdiagnozowane podczas audytu otwarcia przez nas uchybienia zostały zrealizowane. Podczas audytu końcowego powinniśmy zwrócić uwagę w  szczególności na to czy odpowiednio realizujemy prawa osób, których dane dotyczą, czy we wszystkich miejscach umieściliśmy obowiązki informacyjne, czy też nasz zespół przestrzega przyjętych procedur.

Podsumowanie

Wdrożenie RODO czyli dostosowanie firmy do stanu zgodności z RODO nie jest prostą drogą. Warto zastanowić się czy nie chcemy przebyć ją z osobami, które mają mapę, a także wiedzą, jaki jest cel tej drogi.

Jeżeli planujemy jednak sami przejść tą drogę przed nami jest kilkanaście kroków, które powinniśmy wykonać, aby móc uzać, że projekt wdrożenia RODO jest już za nami. Na wdrożeniu przygoda organizacji z RODO, jednak sie nie kończy. Wręcz przeciwnie można powiedzieć, że dopiero się zaczyna. Po wdrożeniu niezbędne jest utrzymanie sprawnego systemu ochrony danych osobowych. Należy też przyjąć do wiadomości, że ochrona danych osobowych jest procesem wymagającym od organizacji zainteresowania i ciągłego doskonalenia. Wsparciem w utrzymaniu zgodności może być bieżące doradztwo lub wyznaczenie zewnętrznego/wewnętrznego IOD. Jednak niezależnie od tego czy organizacja wyznaczy kogoś czy nie, musi mieć świadomość, że RODO to nie projekt, który można zamknąć, a proces, który powinien być wbudowany w funkcjonowanie organizacji.

Zapisz się na Newsletter i otrzymaj plan wdrożenia RODO!

Reklama

Poprzedni artykułW Portugalii nałożono pierwszą karę w wysokości 400 000 € pod reżimem RODO
Następny artykułJak przeprowadzić audyt RODO? (+wzór listy kontrolnej)
Doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o. Na swoim koncie zawodowym posiada kilkadziesiąt projektów audytorskich oraz wdrożeniowych z ochrony danych osobowych, a także kilkaset godzin przeprowadzonych szkoleń z ODO. Specjalizacją Maćka jest legalizacja przetwarzania danych w marketingu internetowym. Obsługuje podmioty z szeroko pojętej branży produkcyjnej, e-commerce oraz kreatywnej. Poza pracą miłośnik biegów długodystansowych oraz marketingu prawniczego. Prowadzi również bloga skutecznyiod.pl

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

The reCAPTCHA verification period has expired. Please reload the page.