25 maja 2018 roku zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Celem regulacji jest uszczelnienie ochrony danych osobowych, zapewnienie większej transparentności, a także wdrożenie procedur w przypadku utraty poufności danych. Zaostrzeniu uległy również kary za naruszenie przepisów. Mogą one wynosić do 20 mln euro lub 4 proc. światowego obrotu.
RODO jest odpowiedzią na rosnące zagrożenie cyberatakami. Regulacja jest bardziej wymagająca od dotychczasowych przepisów w tym obszarze. Przyjmuje również odmienne podejście – zamiast wskazywać konkretne rozwiązania, przenosi odpowiedzialność za dobór zabezpieczeń „adekwatnych do poziomu ryzyka" na przedsiębiorcę.
Niepewność związana ze skalą zmian organizacyjnych sprawiła, że wiele opracowań dotyczących RODO wyolbrzymia ich realny wymiar. Jak więc rozsądnie podejść do projektu wdrożenia unijnych wymagań? Odpowiedź jest jest jedna: należy skupić się na najważniejszych zagrożeniach. Pomoże w tym podzielenie przygotowań na cztery etapy: inwentaryzację danych osobowych, zaprojektowanie zgodnych z RODO rozwiązań; ich wdrożenie oraz utrzymanie. Wyraźne priorytety pozwalają na łatwą kontrolę kosztów wdrożenia oraz budują w organizacji kompetencje przydatne w utrzymaniu nowych procesów.
Uporządkowanie wiedzy o danych i procesach
Pierwszym krokiem jest uporządkowanie informacji o tym, które dane przetwarzane są w organizacji. Mogą to być dane klientów, wspólników, pracowników lub te należące do partnerów biznesowych. Każdą grupę danych należy uzupełnić o informacje o ich pozyskiwaniu, przetwarzaniu i usuwaniu. Decydując się na samodzielną analizę, należy pamiętać, by odpowiednio udokumentować jej wyniki. RODO zawiera wskazówki, jak to zrobić. Tak powstały rejestr stanowi reprezentację aktualnego stanu zabezpieczeń przedsiębiorstwa.
Analiza ryzyka i ocena skutków przetwarzania
Na podstawie informacji zawartych w rejestrze można ocenić, które procesy dają możliwość dostępu do danych nieautoryzowanym osobom oraz czy zabezpieczenia w firmie są adekwatne do istniejącego poziomu ryzyka.