Wdrażanie RODO cz.1 – Podstawowe informacje

RODO, GDPR

Termin wejścia w życie nowych przepisów o ochronie danych osobowych zbliża się wielkimi krokami. Niestety, wiele organizacji nadal nie jest przygotowanych na regulacje wprowadzane przez RODO. W związku z tym, w serii artykułów poświęconych wdrożeniu nowego europejskiego rozporządzenia o ochronie danych osobowych, postaram się przybliżyć proces dostosowywania organizacji do jego wymogów.

Poniższy wpis poświecono kilku ogólnym zagadnieniom dotyczącym wdrożenia RODO. Powinien on zarysować ogólny kontekst przystosowywania organizacji do nowych przepisów oraz jednocześnie rozwiać niektóre z mitów, jakich coraz więcej usłyszeć można w kontekście unijnego Rozporządzenia.   

Świadomość terminu – 25 maja 2018 r.

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/ GDPR) zostało przyjęte 27 kwietnia 2016 roku. Jednak ze względu na ogrom zmian jakie niesienie dla praktyki wielu organizacji, a także dla systemów prawnych państw członkowskich, termin wejścia jego zapisów ustalono na 25 maja 2018 roku.

Zatem to właśnie od 25 maja br. RODO „zacznie działać” (wprowadzane przez nie przepisy zaczną obowiązywać). Dlatego też nasza organizacja najpóźniej od tego dnia powinna spełniać wymogi jakie niesie ze sobą Rozporządzenie.

Bezpośredniość obowiązywania

Nowe europejskie prawo dotyczące ochrony danych osobowych zostało zaprojektowane i przyjęte jako rozporządzenie, czyli najwyższy akt prawny, o zasięgu obejmującym wszystkie państwa członkowskie, a także wszystkie podmioty działające na ich terenie (kogo dokładnie obowiązują przepisy RODO – przeczytasz tutaj). Co więcej, RODO ma zastosowanie bezpośrednie, czyli jego przepisy nie wymagają implementacji do prawa krajowego, a i tak będą obowiązywać od wspomnianej daty.

Zmiany w polskim prawie związane z RODO

Niezależnie od bezpośredniego charakteru Ogólnego Rozporządzenia o Ochronie Danych, jego wprowadzenie pociąga za sobą również wiele zmian w polskim systemie prawnym. Najważniejszą z nich (w interesującym nas kontekście) będzie uchwalenie nowej ustawy o ochronie danych osobowych. Co prawda, mimo iż ze względu na znaczenie prawne RODO, nowa ustaw nie jest konieczna, to polski Ustawodawca przewiduje regulacje w tym zakresie. Ich celem będzie doprecyzowanie niektórych kwestii poruszanych w unijnym Rozporządzeniu, takich jak m.in.: pozycji ustrojowej organu nadzorczego, kar, czy zasad współpracy na rzecz ochrony danych osobowych.

W związku z tym wdrażając RODO musimy uwzględnić nie tylko przepisy znajdujące się w samy Rozporządzeniu, ale także uzupełniające je przepisy zawarte w nowej polskiej ustawie o ochronie danych osobowych (jej uchwalenia możemy spodziewać się w najbliższych tygodniach).

Wdrożenie RODO – złożony proces

Wdrożenie RODO, a więc przystosowanie organizacji do przepisów przez nie wprowadzanych, to złożony, wieloaspektowy proces. Przebieg i czas trwania wdrożenia, a także co za tym idzie koszt tego przedsięwzięcia zależy od wielu czynników takich, jak choćby wielkość organizacji, jej struktura, ilość i rodzaj przetwarzanych danych osobowych, czy złożoność procesów, w ramach których organizacja przetwarza dane.

Czas potrzebny na wdrożenie

Jak już wspomniałem, kwestia czasu potrzebnego na przystosowanie organizacji do Rozporządzenia jest kwestią bardzo indywidualną. Oprócz wspomnianych wyżej zmiennych, na czas wdrożenia wpłynie również dotychczasowa polityka organizacji w zakresie ochrony danych osobowych, zaangażowanie się w proces władz organizacji, a także szeroko rozumiana kultura bezpieczeństwa panująca w organizacji (jej wysoki poziom spowoduje nie tylko lepsze dostosowanie się organizacji, ale powinien także przyspieszyć ten proces).

W zależności od indywidualnych uwarunkowań, proces wdrożenia może zajmować od kilku tygodni (małe organizacje, wykonujące niezłożone procesy) nawet do kilkunastu miesięcy (w przypadku dużych podmiotów, wykonujących wiele złożonych procesów o zróżnicowanym charakterze).

Potrzeba interdyscyplinarnej wiedzy

Z uwagi na wspomnianą złożoność procesu wdrażania RODO, a także ze względu na interdyscyplinarny charakter bezpieczeństwa informacji proces ten wymaga wiedzy z wielu dziedzin. Kluczowa, bez wątpienia, jest znajomość nowych przepisów i dobrych praktyk w zakresie bezpieczeństwa informacji (w tym bezpieczeństwa cybernetycznego). Nieodzowna okaże się również wiedza z zakresu prawa, informatyki, zarządzania (szczególnie zarządzania procesami, projektami oraz zmianami), psychologii, a nawet marketingu (wszak nowe procedury i zasady trzeba jakoś „sprzedać” pracownikom, gdyż bez ich zaangażowania proces ochrony danych skazany będzie na porażkę).

Potrzeba metodyki

Jak już kilkukrotnie wspomniałem proces wdrożeniowy charakteryzuje się skomplikowaniem. Aby przystosowanie organizacji do RODO zakończyło się sukcesem, czyli podejmowane przez nią aktywności w zakresie przetwarzania danych były zgodne z prawem, niezbędne jest metodyczne, systemowe podejście.

Wyrywkowe spełnianie wybranych obowiązków (zasłyszanych od znajomych bądź uświadomionych po lekturze jakiegoś artykułu czy komentarza) na niewiele się zda. Brak metodycznej i całościowej orientacji nie uwolni nas od kar w razie kontroli bądź – co gorsza – incydentu związanego z danymi. Tym bardziej nie zapewni odpowiedniego poziomu bezpieczeństwa danym naszych interesariuszy – a to przecież nie tylko główny cel RODO, ale przede wszystkim priorytet każdej świadomej organizacji.

Tak więc do wdrożenia RODO trzeba podejść jak do realizacji skomplikowanego, wieloaspektowego projektu, zaś podstawą powinna być przemyślana i jasno sformułowana metodyka.

Korzyści z wdrożenia

RODO często przedstawiane jest w narracji problemu, który został narzucony organizacjom przez złośliwego ustawodawcę. W rzeczywistości jednak nowe prawo w zakresie ochrony danych osobowych ma służyć nam wszystkim i bronić nas przed nadużyciami na tym polu, których zliczyć nie sposób.

Co więcej wdrożenie RODO, mimo iż bezdyskusyjnie wymaga czasu i wiąże się z kosztami, stanowi także szansę dla wielu przedsiębiorstw. Po pierwsze pozwala na lepszą ochronę danych ich interesariuszy, bez których zaufania żadna firma przetrwać nie zdoła. Po drugie zwraca uwagę na niejednokrotnie pomijane i lekceważone kwestie bezpieczeństwa informacji. Po trzecie wreszcie, daje firmowym decydentom okazję do przemyślenie swojej działalności przez zdefiniowanie firmowych procesów, zaś owocem takiej refleksji mogą być pozytywne zmiany, które usprawnią organizację.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

three × 4 =