Jeżeli miałbym wymienić 7 najważniejszych rzeczy, o których należy pamiętać, zarządzając systemem ochrony danych osobowych, byłoby to:

1. Analiza ryzyk.
2. Cel systemu.
3. Zasada, że najważniejsi są ludzie.
4. Integralność z kulturą organizacyjną.
5. Zarządzanie systemem.
6. Niezbędna dokumentacja.
7. Cyberbezpieczeństwo.

        
1. Analiza ryzyk
 
Na gruncie RODO, zarządzanie ryzykiem to fundament ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Bez zarządzania ryzykiem nie da się wdrożyć adekwatnych środków technicznych i organizacyjnych, aby zapewnić właściwy stopień bezpieczeństwa. Ryzyko naruszenia ochrony danych osobowych jest tylko kwestią czasu.

W przypadku naruszenia ochrony danych osobowych grożą sankcje w wysokości do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu. Jednocześnie należy pamiętać, że przy podejmowaniu decyzji o nałożeniu kary pieniężnej oraz ustalając jej wysokość, organ nadzoru będzie zwracał uwagę m.in. na to, czy wdrożone były procesy zarządzania ryzykiem, czy były one właściwie wykorzystywane oraz czy podjęte zostały adekwatne środki techniczne i organizacyjne, by zminimalizować te ryzyka. Należy pamiętać, że ryzyka nigdy nie da się usunąć.

W związku z tym, kluczowym pytaniem nie powinno być „czy zarządzać ryzykiem”, tylko „jak zarządzać ryzykiem?”. Należy zdać sobie sprawę, że to zarządzanie jest czynnikiem warunkującym sprawne wdrożenie RODO i pozwala uniknąć odpowiedzialności, w tym odpowiedzialności finansowej.
 
2. Cel systemu
 
Jest nim ochrona praw i wolności ludzi, których dane osobowe przetwarzamy. Dopiero na drugim miejscu jest dobro administratora lub podmiotu przetwarzającego.

Wiele podmiotów przeprowadzając analizę ryzyk czy incydentów patrzy nie z punktu zagrożenia praw i wolności osób, których dane przetwarzają, ale z punktu widzenia zagrożeń dla swej organizacji. To jest poważny błąd.
 

3. Zasada, że najważniejsi są ludzie
 

Większość incydentów, czy naruszeń prawa w zakresie ochrony danych osobowych jest efektem ludzkich działań. Najczęściej powodem jest błąd ludzki, brak świadomości, pośpiech lub stres. Dlatego tak ważne jest regularne szkolenie osób przetwarzających dane osobowe. Pamiętajcie – nie ma odpowiedzialności bez świadomości. A świadomość buduje się poprzez stałą komunikację, w tym szkolenia.
 

4. Ochrona danych osobowych powinna stanowić integralną częścią kultury organizacyjnej
 

Kultura organizacyjna to system rzeczywiście stosowanych i wyznawanych wartości i zasad w danym podmiocie. Jeżeli ochrona danych osobowych nie będzie stanowić integralnej części kultury organizacyjnej danego podmiotu, to mało kto będzie przestrzegał zasad przetwarzania danych osobowych w danym podmiocie.
 

5. Zarządzanie systemem to proces stały i obejmujący całą organizacją
 
Należy pamiętać, że każdy w danym podmiocie odpowiada za przetwarzania danych osobowych. Zarządzanie systemem ochrony danych osobowych to proces stały i obejmujący całą organizację. Do tego system należy systematycznie audytować i aktualizować.

Przy okazji, mój ulubiony mit, że Inspektor Ochrony Danych za wszystko odpowiada. W rzeczywistości za wszystko odpowiada osoba zarządzająca danym przedsiębiorstwem.
 

6. Niezbędna dokumentacja
 
Opracowanie dokumentacji zgodnej z RODO musi być poprzedzone wieloaspektową analizą i oceną ryzyka. Dokumentacja powinna też być na bieżąco aktualizowana.

Według mnie, w skład dokumentacji zgodnej z RODO powinny wejść:

1. Polityki ochrony danych osobowych, np. polityka bezpieczeństwa i instrukcje zarządzania systemami informatycznymi.
2. Rejestr czynności przetwarzania danych osobowych (jeżeli jesteście administratorami) lub Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (jeżeli jesteście podmiotami przetwarzającymi).
3. Wzory klauzul zgód na przetwarzanie danych osobowych.
4. Wzory klauzul informacyjnych o przetwarzanie danych osobowych.
5. Wzór umowy na przetwarzanie danych osobowych lub wzór umowy o współadministrowaniu.
6. Rejestr upoważnień na przetwarzanie danych osobowych i wzór upoważnienia na przetwarzanie danych osobowych.
7. Procedurę w przypadku naruszenia ochrony danych osobowych i rejestr naruszeń ochrony danych osobowych.
8. Inne jeżeli są potrzebne, np. procedurę prostowania i usuwania danych osobowych.

 
7. Cyberbezpieczeństwo
 
Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług.

A po ludzku, to rozwiązania techniczne i organizacyjne mające na celu ochronę sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem – czyli np. firewall'e, antywirusy, hasła, szkolenia, procedury.

Jeżeli przedsiębiorcy nie będą zarządzać cyberbezpieczeństwem w swoich firmach, mogą narazić nie tylko swoje firmy (często na wielomilionowe kary lub odszkodowania), nie tylko swoich klientów i kontrahentów (narażając się na utratę ich zaufania, a tym samym i przychodów), ale mogą zachwiać bezpieczeństwem całego systemu informatycznego, który jest siecią naczyń połączonych.

Od dekady zagrożenia w zakresie cyberbezpieczeństwa są wymieniane jako najpoważniejsze i najbardziej prawdopodobne. I niestety ryzyka związane z cyberbezpieczeństwem stale rosną.

Polecam cały cykl artykułów o cyberbezpieczeństwie, które napisałem z Mikołajem Otmianowskim w Gazecie Małych i Średnich Przedsiębiorstw.

Oczywiście zagadnień związanych z RODO i ochrona danych osobowych jest dużo, ale według mnie najważniejszą są powyższe zagadnienia.

Jeśli masz pytania, zapraszam do kontaktu.
 

Autor: Kancelaria Radcy Prawnego Paweł Ludwiczak
www.ludwiczak-radcaprawny.pl