Dostosowanie do przepisów zawartych w rozporządzeniu RODO jest dla przedsiębiorstwa istotne z kilku powodów. Po pierwsze zabezpiecza przed surowymi karami przewidzianymi w przepisach. Po drugie zabezpiecza przed odszkodowaniami na rzecz ewentualnych poszkodowanych. Po trzecie i prawdopodobnie najważniejsze, umożliwia firmie gromadzenie i przetwarzanie danych osobowych w ten sposób aby właściwie i z szacunkiem odnosić się do istotnych praw pracowników, klientów i kooperantów. Takie podejście powinno przełożyć się na realizację innych celów przedsiębiorstwa, w tym finansowych. Skuteczne wdrożenie przepisów RODO odbywa się w kilku etapach.
Określenie kluczowych procesów
Pierwszym z nich jest określenie funkcji i procesów, jakie w ramach przedsiębiorstwa są związane z gromadzeniem i przetwarzaniem danych osób prywatnych. Najczęściej są to rekrutacja, polityka personalna, tworzenie i prowadzenie dokumentacji finansowej a także zawieranie umów z podmiotami zewnętrznymi. Efektem analizy powinno być ustalenie aktualnie wstępujących niezgodności z przepisami RODO. Mogą one dotyczyć zakresu i celów przetwarzania danych, ryzyka naruszenia praw i wolności osób fizycznych oraz środków technicznych i organizacyjnych.
Ocena skutków przetwarzania danych osobowych i analiza ryzyka naruszeń
Zgodnie z artykułem 35 rozporządzenia RODO, należy ustalić czy trzeba formalnie przeprowadzić ocenę skutków przetwarzania danych osobowych. Z reguły jest to konieczne wtedy gdy: dochodzi do przetwarzania danych osobowych na dużą skalę, dochodzi do systematycznego monitorowania miejsc dostępnych publicznie lub gdy organ nadzorczy uznał dany rodzaj operacji za podlegający wymogowi.
Kolejnym krokiem powinna być analiza ryzyka naruszeń. Powinna odnosić się do poszczególnych procesów. Celem tego etapu jest ustalenie sposobów redukcji i unikania ryzyka.
Przygotowanie dokumentacji i realizacja obowiązku informacyjnego
Szczegółowa analiza procesów umożliwia przygotowanie dokumentacji związanej z wdrożeniem w firmie uregulowań RODO. Najważniejszym dokumentem, jaki należy stworzyć jest „Polityka bezpieczeństwa”. Powinna zawierać trzy części: rejestr czynności przetwarzania, opis stosowanych procedur oraz opis stosowanych zabezpieczeń.
W następnym etapie należy zadbać o spełnienie przez przedsiębiorstwo obowiązków informacyjnych. Oznacza to głównie przygotowanie dokumentów, które są związane z poszczególnymi procesami. Mogą to być na przykład informacje dotyczące przetwarzania danych czy klauzule zgody. Należy również zdecydować, w jaki sposób będą one udostępniane, może się to odbywać poprzez wywieszenie komunikatów widocznym miejscu, publikację na stronie internetowej lub dostarczenie stosownego tekstu do podpisu osobie zainteresowanej.
Dostosowanie zabezpieczeń
Końcowy etap to dostosowanie technicznych i organizacyjnych zabezpieczeń. Może on oznaczać konieczność inwestycji w niezbędne oprogramowanie, fizyczne zabezpieczenie dokumentów przechowywanych w formie analogowej, oraz szkolenie personelu w zakresie obowiązujących procedur.
Zgodnie z duchem przepisów RODO należy pamiętać o tym, że najważniejsza jest należyta staranność przy wszystkich czynnościach związanych z gromadzeniem i przetwarzaniem danych osób fizycznych. Najwyższe kary grożą tym, którzy lekceważą podstawowe obowiązki, nie informują osób zainteresowanych oraz organów nadzorczych o naruszeniach a także odmawiają współpracy z organami nadzorczymi. Z drugiej strony, postępowanie zgodnie z przepisami RODO skutecznie zabezpiecza przedsiębiorstwo przed nieuzasadnionymi roszczeniami.