iSecure logo
Blog

10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

Agnieszka Rapcewicz

Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji.

Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów przy zapewnieniu zgodności z RODO. Wśród nich na pierwszym miejscu znalazło się właśnie „papierowe” wdrożenie. Oznacza to, że mimo sporządzenia i przyjęcia w organizacjach procedur ochrony danych osobowych, w praktyce pracownicy przetwarzający dane nie znają tych zasad, nie rozumieją ich, a w konsekwencji ich nie stosują. Może to w dłuższej perspektywie prowadzić do poważnych naruszeń ochrony danych osobowych, a także do nałożenia wysokich kar pieniężnych na przetwarzających dane.

Powyższe podejście najczęściej nie wynika wcale ze złej woli, lecz po prostu z dużej ilości pracy i skupienia na działaniach biznesowych, które przecież przynoszą wymierne korzyści finansowe. Z perspektywy przedsiębiorców RODO działa wręcz przeciwnie – generuje jedynie dodatkowe wydatki i „blokuje rozwój biznesu”. Dlatego też w wielu przypadkach wdrożenie nowych przepisów polegało na przygotowaniu własnymi siłami dokumentacji „zapewniającej zgodność”, bez dostosowania ich do indywidualnych potrzeb organizacji. Później o ochronie danych osobowych zapomniano. Niestety, takie podejście nie jest właściwe. Zapewnienie ochrony danych osobowych to proces ciągły, wymagający dostosowania do zmieniających się okoliczności. Warto też pamiętać, że w przypadku poważnego naruszenia zasad ochrony danych osobowych w danej organizacji, zostaje nadszarpnięty jej wizerunek, co może skutkować np. utratą zaufania klientów i ich odejściem do konkurencji. To z kolei zdecydowanie przełoży się na sytuację finansową firmy.

Co więc zrobić, aby wdrożenie zasad RODO w Twojej organizacji nastąpiło faktycznie, a nie tylko na papierze? Poniżej kilka naszych wskazówek:

  • Przede wszystkim edukuj! Twoi pracownicy powinni wiedzieć, w jaki sposób chronić i przetwarzać dane osobowe, a także kiedy mają do czynienia z naruszeniem ochrony danych i do kogo się wówczas zgłosić. Istotne jest również uświadomienie im, że każdy może popełnić błąd i najważniejsze, by nie chować głowy w piasek, tylko jak najszybciej przekazać wszelkie istotne informacje do przełożonych. Z naszego doświadczenia wynika, że co najmniej 80% incydentów dotyczących ochrony danych osobowych spowodowanych jest przez błąd ludzki, dlatego ważne, aby pracownicy nie bali się ich Tobie zgłaszać!
  • Bez współpracy z Twoimi ludźmi wdrożenie zasad ochrony danych osobowych nie dojdzie do skutku. Możesz powiedzieć: „ale przecież moi pracownicy nie będą czytali tych opasłych procedur”. Po pierwsze, może okazać się, że wcale nie potrzebujesz „tych opasłych procedur”. Mogłeś nie zweryfikować, czy te dokumenty są dostosowane do działalności Twojej firmy, lecz poprzestałeś na wdrożeniu „gotowców”. Po drugie, warto przygotować wyciąg z przyjętych procedur, tj. instrukcje dla poszczególnych działów w Twojej firmie, które będą zawierać najistotniejsze kwestie opisane w punktach, prostym językiem. Dla pracowników naszych klientów przygotowujemy tego typu „ściągi”, zarówno ogólne, jak i dedykowane dla poszczególnych procesów biznesowych (np. działania marketingowe, zamówienia publiczne, HR). Takie materiały zdecydowanie ułatwiają pracownikom zrozumienie zasad ochrony danych osobowych. Ważne, aby wszyscy nowi pracownicy od razu zostali z nimi zapoznani. Warto to wpleść w procedurę zatrudnienia – bez przeszkolenia i zapoznania się przynajmniej ze „ściągami” nie powinieneś nadawać takiej osobie upoważnienia do przetwarzania danych osobowych.
  • Wyznacz osobę, która da Ci realne wsparcie w procesie zapewniania zgodności z RODO i innymi przepisami z zakresu ochrony danych osobowych. Może to być np. zewnętrzny lub wewnętrzny inspektor ochrony danych (IOD). Jeśli nie możesz sięgnąć po wsparcie specjalisty, który będzie zajmował się wyłącznie kwestiami dotyczącymi ochrony danych osobowych, wyznacz w firmie dedykowany do tych celów zespół. Ważne, aby wskazane osoby nie były przeciążone swoimi obowiązkami (jeśli kwestie związane z RODO mają być dodatkowymi zadaniami, np. obok czynności z zakresu HR czy IT) i mogły realnie czuwać nad aktualnością procesów przetwarzania danych w Twojej firmie.
  • Pamiętaj, aby poinformować wszystkich pracowników o roli ww. osób i obowiązku współpracy z nimi. Pracownicy powinni wiedzieć, że każdy nowy proces wiążący się z przetwarzaniem danych osobowych lub zmiany w dotychczasowych procesach, powinny być zgłaszane do tych osób od razu, zanim jakiekolwiek rozwiązania zostaną wdrożone. Zwróć uwagę na zasadę ochrony danych w fazie projektowania! Włączenie IOD, czy innych osób wspierających wdrożenie RODO w Twojej organizacji, dopiero na etapie końcowym, jest naprawdę chybionym pomysłem. Często na tym etapie jest już za późno na zapewnienie zgodności z RODO. Odwrócenie tych procesów może okazać się niemożliwe lub wiązać się z bardzo dużymi kosztami. Naprawdę, dużo korzystniejsze będzie zaangażowanie wspomnianych osób na samym początku.
  • Pamiętaj – IOD czy inna osoba wspierająca Cię w zapewnieniu zgodności działań biznesowych z RODO nie jest Twoim wrogiem. Jeśli dasz jej szansę, pomoże Ci znaleźć rozwiązania zgodne z przepisami prawa i możliwie najbardziej biznesowe. Aby to się jednak zadziało, włączaj te osoby we wszystkie procesy wiążące się z ochroną danych osobowych w firmie. Zapewnij im też swobodny kontakt z właścicielami poszczególnych procesów biznesowych, aby oni również współpracowali i zgłaszali swoje pomysły bezpośrednio do tej osoby.
Pobierz wpis w wersji pdf

Podobne wpisy:

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Agnieszka Rapcewicz

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej […]

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
Olga Skotnicka

Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

Wymiana doświadczenia
Damian Bielecki

Pośrednictwo, leady i RODO, czyli jak to możliwe, że procesor jest jednocześnie administratorem?

W celu maksymalizacji zysków, a także zapewnienia wysokiej jakości usług, outsourcing jest coraz częstszym zjawiskiem w świecie biznesu. Gdy słyszymy “outsourcing usług” najczęściej przychodzą nam do głowy usługi prawne lub księgowe. Nie możemy jednak zapominać, że coraz częstszą formą outsourcingu jest szeroko pojęte pośrednictwo. Jedną z najpopularniejszych form pośrednictwa jest poszukiwanie klientów, zwanych przez biznes […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki