7 najgorszych błędów popełnianych przy wdrożeniu RODO.

Wdrożenie nowych przepisów o ochronie danych osobowych to dla większości organizacji prawdziwa rewolucja. Nawet te podmioty, które miały wdrożony system ochrony danych popełniają błędy przy jego  przekształceniu. Poznaj największe pułapki i jak ich uniknąć.

1. Brak planu działania.

Niestety większość organizacji podchodzi do wdrożenia RODO jak do jednorazowego działania. Działanie to nie ma początku, przebiegu ani końca. Przykładowo podmiot dowiaduje się że potrzebuje dokumentacji zgodności z RODO, więc zamawia szablon uzupełnia, podpisuje i uważa że jest zgodny z RODO. Inny podmiot dochodzi do wniosku że skoro RODO to w 80% ISO 27001 bezpieczeństwo informacji, to wdrożymy ISO i dopasujemy je do RODO. Jeszcze inna organizacja zakłada, że wystarczy zamówić szkolenie z RODO dla pracowników i oni sami dalej doprowadzą do zgodności z RODO.

Wdrożenie RODO.
Plan wdrożenia RODO w 6 krokach.
moje-crop

Organizacja powinna przygotować plan działania np. audyt zgodności z RODO, ocena skutków przetwarzania DPIA, inwentaryzacja zasobów, analiza ryzyka wobec zasobów, przygotowanie dokumentacji RODO, przeszkolenie personelu, doskonalenie systemu ochrony danych. Podsumowując bez planu działania pominiemy istotne etapy bez których nie będziemy w stanie dokończyć poprzednich. Innym skutkiem braku planu działania jest niekompletność wykonywanych czynności lub brak oczekiwanego efektu.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

2. Brak podziału obowiązków.

Znaczna część organizacji wychodzi z założenia że nie ma potrzeby angażowania większej liczby osób do wdrożenia. Skutkiem takiej decyzji jest to że jedna góra dwie osoby próbują narzucić coś pozostałym. Pozostali pracownicy najczęściej z braku informacji nie współpracują lub robią to opornie. Ostatecznie najwyższe kierownictwo oczekuję wyników mimo że samo podchodzi z dystansem do jakichkolwiek zmian. Inne podejście przewiduję przeszkolenie wszystkich pracowników ale nie wyznaczenie nikogo odpowiedzialnego za skutki wdrożenia RODO.

Podział zadań RODO pomiędzy poszczególne osoby.
moje-crop

Organizacja powinna jasno określić rolę wszystkich osób odpowiedzialnych za poszczególne procesy przetwarzania danych osobowych. Dodatkowo wyznaczyć osobę odpowiedzialną za koordynację wszystkich działań. Ostatecznie poinformować najwyższe kierownictwo o planowanych działaniach i ich oczekiwanych wynikach.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

3. Bazowanie na zbiorach danych

Zbiory danych osobowych pomimo że są zdefiniowane w RODO, nie mogą stanowić punktu wyjścia dla organizacji. Wynika to z tego że zbiór danych osobowych jest statyczny w swojej naturze. Natomiast przepisy wymagają podejścia dynamicznego do procesów przetwarzania danych osobowych. Organizacje próbują określać miejsce i zabezpieczenia zbiorów danych zamiast zająć się określaniem poszczególnych działań składających się na procesy przetwarzania.

Zbiory danych, a procesy.
Porównanie podejścia opartego na biorach z podejściem opartym na procesach.
moje-crop

Organizacja powinna zidentyfikować procesy przetwarzania danych osobowych przez pryzmat ich początku, ich przebiegu, aż do archiwizacji lub usunięcia. Organizacje powinny rozpocząć od zidentyfikowania każdej sytuację gdy poszczególne kategorie danych do niej wpływają.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

4. Identyfikowanie nie swoich danych

Podmioty często błędnie identyfikują dane osobowe, które są im powierzanie do przetwarzania jako swoje własne. Do tego powszechnego błędu dochodzi najczęściej gdy rzeczywisty administrator danych zleca podmiotowi pobieranie danych osobowych jako jedna z czynności powierzanych. Przykładowo firma A zleca firmie B pobieranie danych za pośrednictwem połączeń telefonicznych. Firma B po pobraniu danych uznaje siebie za ich administratora pomimo zawartej umowy powierzenia przetwarzania danych osobowych.

Identyfikacja danych własnych i powierzonych.
Identyfikacja administratora danych na każdym etapie procesu przetwarzanai danych.
moje-crop

Podmioty powinny podzielić zidentyfikowane procesy przetwarzania danych na te, których są administratorem i na te których są procesorem. Brak tego działania powoduje chaos i frustrację w kontaktach z podmiotami zewnętrznymi.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

5. Brak identyfikacji zagrożeń.

Podmioty przeprowadzając ocenę skutków przetwarzania (DPIA) i analizę ryzyka wobec zasobów biorących udział w procesach pomijają oczywiste zagrożenia. Organizacje szukając zagrożeń skupiają się w zasadzie tylko na kradzieży danych lub ich nieuprawnionemu udostępnieniu. Całkowicie pomijanie są zagrożenia takie jak utrata dostępu do danych czy zagrożenia środowiskowe jak pożar czy zalanie. Skutkiem tego stanu rzeczy jest pomijanie zagrożeń, które mogą cechować się wysokimi prawdopodobieństwem lub skutkiem wystąpienia.

moje-crop

Organizacje przeprowadzając ocenę skutków przetwarzania powinny uwzględniać przynajmniej następujące zagrożenia: bezprawny dostęp do danych, niepożądane zmiany danych, utrata (zniszczenie) danych kradzież tożsamości czy dyskryminacja. Przeprowadzając analizę ryzyka wobec zasobów powinny uwzględniać co najmniej: przypadkowe lub niezgodne z prawem zniszczenie, utrata, modyfikacja, nieuprawnione ujawnienie lub nieuprawniony dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

6. Brak skutecznego zapoznania personelu.

Organizacje po przygotowaniu od strony formalnej wszystkich procedur i zabezpieczeń zgodnych z RODO nie zapewniają wcale albo nieskuteczne szkolenia z RODO. Najczęściej szkolenie przeprowadzane przez organizacje nie jest dopasowane do branży organizacji a co dopiero do poszczególnych stanowisk czy jednostek organizacyjnych. Dodatkowo szkolenie jest tylko wstępem do zapoznania personelu. Kolejnymi krokami powinna być okresowa weryfikacja przestrzegania procedur przez personel oraz działania korygujące.

moje-crop

Organizacja powinna zapewnić skuteczne zapoznanie personelu z wewnętrznymi regulacjami, które ich dotyczą oraz weryfikować i stale podnosić poziom świadomości osób.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

7. Brak planu doskonalenia.

Ostatnim najczęściej występującym błędem jest postrzeganie ochrony danych osobowych jako czegoś obcego, sztucznie doklejonego do organizacji. System ochrony danych osobowych musi przenikać wszystkie procesy. Efekt ten można osiągnąć tylko poprzez sukcesywne poprawianie tego co nie działa właściwie i dbanie o to działa poprawnie. Organizacje postrzegają wdrożenie RODO jako coś jednorazowego. Natomiast powinno to być działanie ciągłe.

moje-crop

Ciągłe doskonalenie systemu ochrony danych osobowych powinno być tak samo ważne jak doskonalenie marketingu, obsługi klienta czy logistyki. To właśnie dzięki takiemu działaniu organizacja może skorzystać na RODO, gdyż stanie się konkurencyjna w swojej branży i sektorze.

Konrad Gałaj-Emiliańczyk

-

Ekspert ds. ochrony danych

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu