7 najgorszych błędów popełnianych przy wdrożeniu RODO.

Wdrożenie nowych przepisów o ochronie danych osobowych to dla większości organizacji prawdziwa rewolucja. Nawet te podmioty, które miały wdrożony system ochrony danych popełniają błędy przy jego  przekształceniu. Poznaj największe pułapki i jak ich uniknąć.

1. Brak planu działania.

Niestety większość organizacji podchodzi do wdrożenia RODO jak do jednorazowego działania. Działanie to nie ma początku, przebiegu ani końca. Przykładowo podmiot dowiaduje się że potrzebuje dokumentacji zgodności z RODO, więc zamawia szablon uzupełnia, podpisuje i uważa że jest zgodny z RODO. Inny podmiot dochodzi do wniosku że skoro RODO to w 80% ISO 27001 bezpieczeństwo informacji, to wdrożymy ISO i dopasujemy je do RODO. Jeszcze inna organizacja zakłada, że wystarczy zamówić szkolenie z RODO dla pracowników i oni sami dalej doprowadzą do zgodności z RODO.

Wdrożenie RODO.
Plan wdrożenia RODO w 6 krokach.

2. Brak podziału obowiązków.

Znaczna część organizacji wychodzi z założenia że nie ma potrzeby angażowania większej liczby osób do wdrożenia. Skutkiem takiej decyzji jest to że jedna góra dwie osoby próbują narzucić coś pozostałym. Pozostali pracownicy najczęściej z braku informacji nie współpracują lub robią to opornie. Ostatecznie najwyższe kierownictwo oczekuję wyników mimo że samo podchodzi z dystansem do jakichkolwiek zmian. Inne podejście przewiduję przeszkolenie wszystkich pracowników ale nie wyznaczenie nikogo odpowiedzialnego za skutki wdrożenia RODO.

Podział zadań RODO pomiędzy poszczególne osoby.

3. Bazowanie na zbiorach danych

Zbiory danych osobowych pomimo że są zdefiniowane w RODO, nie mogą stanowić punktu wyjścia dla organizacji. Wynika to z tego że zbiór danych osobowych jest statyczny w swojej naturze. Natomiast przepisy wymagają podejścia dynamicznego do procesów przetwarzania danych osobowych. Organizacje próbują określać miejsce i zabezpieczenia zbiorów danych zamiast zająć się określaniem poszczególnych działań składających się na procesy przetwarzania.

Zbiory danych, a procesy.
Porównanie podejścia opartego na biorach z podejściem opartym na procesach.

4. Identyfikowanie nie swoich danych

Podmioty często błędnie identyfikują dane osobowe, które są im powierzanie do przetwarzania jako swoje własne. Do tego powszechnego błędu dochodzi najczęściej gdy rzeczywisty administrator danych zleca podmiotowi pobieranie danych osobowych jako jedna z czynności powierzanych. Przykładowo firma A zleca firmie B pobieranie danych za pośrednictwem połączeń telefonicznych. Firma B po pobraniu danych uznaje siebie za ich administratora pomimo zawartej umowy powierzenia przetwarzania danych osobowych.

Identyfikacja danych własnych i powierzonych.
Identyfikacja administratora danych na każdym etapie procesu przetwarzanai danych.

5. Brak identyfikacji zagrożeń.

Podmioty przeprowadzając ocenę skutków przetwarzania (DPIA) i analizę ryzyka wobec zasobów biorących udział w procesach pomijają oczywiste zagrożenia. Organizacje szukając zagrożeń skupiają się w zasadzie tylko na kradzieży danych lub ich nieuprawnionemu udostępnieniu. Całkowicie pomijanie są zagrożenia takie jak utrata dostępu do danych czy zagrożenia środowiskowe jak pożar czy zalanie. Skutkiem tego stanu rzeczy jest pomijanie zagrożeń, które mogą cechować się wysokimi prawdopodobieństwem lub skutkiem wystąpienia.

6. Brak skutecznego zapoznania personelu.

Organizacje po przygotowaniu od strony formalnej wszystkich procedur i zabezpieczeń zgodnych z RODO nie zapewniają wcale albo nieskuteczne szkolenia z RODO. Najczęściej szkolenie przeprowadzane przez organizacje nie jest dopasowane do branży organizacji a co dopiero do poszczególnych stanowisk czy jednostek organizacyjnych. Dodatkowo szkolenie jest tylko wstępem do zapoznania personelu. Kolejnymi krokami powinna być okresowa weryfikacja przestrzegania procedur przez personel oraz działania korygujące.

7. Brak planu doskonalenia.

Ostatnim najczęściej występującym błędem jest postrzeganie ochrony danych osobowych jako czegoś obcego, sztucznie doklejonego do organizacji. System ochrony danych osobowych musi przenikać wszystkie procesy. Efekt ten można osiągnąć tylko poprzez sukcesywne poprawianie tego co nie działa właściwie i dbanie o to działa poprawnie. Organizacje postrzegają wdrożenie RODO jako coś jednorazowego. Natomiast powinno to być działanie ciągłe.