Ochrona danych osobowych była ważnym zagadnieniem w UE od ponad 20 lat, ale dopiero zatwierdzone w marcu 2016 roku GDPR (General Data Protection Regulations) w sposób kompleksowy uregulowało obszar ochrony danych osobowych i wyniosło go na zupełnie nowy poziom. GDPR zastąpiło wcześniejszą dyrektywę: 1995 EU Directive on data protection. W Polsce GDPR nosi nazwę Rozporządzenie o Ochronie Danych Osobowych (RODO).
Dlaczego wdrożenie RODO jest tak istotne?
Po pierwsze, będzie się tyczyło praktycznie wszystkich organizacji, nawet tych nie zlokalizowanych w Europie. Wynika to z faktu, że GDPR nakazuje ochronę i nakłada przepisy na każdą organizację, która przetwarza dane osobowe obywateli UE, niezależnie od miejsca w którym przetwarzanie ma miejsce.
Po drugie, koszty nie spełnienia wymagań RODO są bardzo wysokie, z karami finansowymi sięgającymi 20 milionów euro bądź 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Po trzecie, ze względu na ilość praw jakie zyskały osoby, których dane przetwarzamy jest bardzo prawdopodobne, że będą one domagały się realizacji tych praw, np. prawo do bycia zapomnianym czy wstrzymanie przetwarzania danych osobowych. Brak możliwości ich spełnienia (brak uregulowanych kwestii ochrony danych osobowych) niechybnie będzie wiązał się z kontrolą organu nadzorczego i karami finansowymi.
Po czwarte, nowe uregulowania prawne wymagają wdrożenia zabezpieczeń zarówno organizacyjnych jak i technicznych.
Jak przygotować się do zgodności z RODO?
W pierwszej kolejności należy wykonać inwentaryzację danych osobowych – gdzie, w jakim celu, na jakiej podstawie, jakie dane osobowe są przetwarzane w Organizacji. Warto przeprowadzić rozmowy z pracownikami, weryfikować dokumenty i badać systemy teleinformatyczne.
Następnie nalęzy zaprojektować i opisać wszystkie wymagane RODO procesy związane z zapewnieniem bezpieczeństwa danych osobowych jak i realizacją praw osób, których przetwarzane dane dotyczą.
W kolejnym kroku należy zweryfikować jakie zabezpieczenia techniczne obecnie funkcjonują w organizacji (audyt obszaru IT) i dostosować je tak by osiągnąć pełną zgodność z wymaganiami RODO.
Ostatnim etapem są szkolenia dla pracowników, w celu przedstawienia pracownikom ich praw i obowiązków wynikających z wymagań RODO i zatwierdzonej dokumentacji.
Należy pamiętać, że wszystkie wdrożone w związku z GDPR zabezpieczenia mogą obniżyć wysokość kar nałożonych na organizację w związku z niespełnieniem wymagań GDPR.
Warto wykorzystać BPM RODO w celu skutecznego wdrożenia wymagań w zakresie danych osobowych.