- przygotować politykę bezpieczeństwa – podstawowy dokument opisującym zasady i środki przetwarzania danych osobowych w firmie,
- przeszkolić pracowników w zakresie stosowania przepisów RODO,
- wdrożyć i prowadzić rejestr naruszeń danych osobowych, w którym uzupełniane będą zdarzenia, gdy do nich dojdzie,
- każdorazowo zgłaszać naruszenia – gdy dojdzie do wycieku danych w ciągu 72 godzin od wykrycia naruszenia należy zgłosić ten fakt Głównemu Inspektorowi Ochrony Danych Osobowych oraz poinformować osoby, których dane wyciekły.
Realizując obowiązek informacyjny należy Większe przedsiębiorstwa w celu wdrożenia obowiązków wynikających z RODO zatrudniają specjalistę od ochrony danych osobowych. Z kolei wiele małych firm nie stać na utworzenie nowego etatu dla specjalisty od ochrony danych osobowych. Wtedy to na właścicielu ciąży obowiązek wdrożenie i przestrzeganie prawa samodzielnie.
RODO w firmie krok po kroku – przedsiębiorca w celu wdrożenia RODO w małej firmie powinien:
- przeanalizować przetwarzane dane osobowe – jakie dane osobowe są przetwarzane, kto ma do nich dostęp i w jaki sposób są przechowywane,
- nadać odpowiednie upoważnienia osobom zajmującym się przetwarzaniem danych,
- poinformować o sposobie przetwarzania danych i uzyskać stosowne oświadczenia,
- wdrożyć i prowadzić rejestr czynności związanych z przetwarzaniem danych,
- zabezpieczyć dane – ochrona danych osobowych zależy od formy ich przetwarzania. Dane w postaci dokumentów papierowych można zamknąć w szafie zamykanej na klucz tak, by tylko upoważnione osoby miały do nich dostęp. W przypadku danych elektronicznych należy zadbać o odpowiednie zabezpieczenie systemu. Dobry program antywirusowy oraz szyfrowanie plików to podstawowe metody, które zabezpieczą dane przed udostępnienie danych osobom nieupoważnionym,
- podpisać stosowne umowy powierzenia z podmiotami, które przetwarzają dane w imieniu przedsiębiorcy,
każdemu klientowi wyjaśnić:
- kto jest administratorem danych osobowych,
- w jaki sposób należy się kontaktować w sprawie przetwarzania danych osobowych,
- w jakim celu są one przetwarzane,
- komu i na jakich zasadach dane mogą być udostępniane,
- czy dane są przekazywane poza Europejski Obszar Gospodarczy,
- jaki jest okres przechowywania danych,
- jakie klient ma prawa: dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia skargi do Głównego Inspektora Ochrony Danych Osobowych,
- czy będzie występowało profilowanie, a jeśli tak to w jakim zakresie oraz w jakim celu.
Jeżeli wdrożenie RODO samodzielnie okaże się zbyt trudne i skomplikowane warto skorzystać z pomocy kancelarii specjalizującej się we wdrażaniu RODO oraz przygotowującej wymaganą dokumentację indywidualnie dostosowaną do przedsiębiorcy. Dostępne w Internecie darmowe wzory dokumentów RODO często są zbyt ogólne i nie spełniają wszystkich wymogów nałożonych na przedsiębiorcę.
