Czym tak właściwie jest RODO? Dlaczego coraz więcej się o tym mówi i co zrobić, żeby Twoja szkoła jazdy była gotowa na nadchodzące zmiany? Zobacz na czym polega przygotowanie firmy do nowych reguł postępowania z danymi osobowymi Klientów.
Zespół ds. wdrożenia RODO
Wdrożenie RODO w Twoim OSK będzie złożonym procesem, który zaangażuje całą firmę. Uprzedź o tym swoich pracowników (nie tylko obsługę biura, ale też instruktorów i całą pozostałą kadrę). Wybierz spośród Twojej załogi zespół wdrożeniowy. Będziecie razem nadzorować prace nad przygotowaniem firmy do zmian.
Przygotuj mapę drogową
Rozpisz krok po kroku zakres prac potrzebnych na każdym etapie przystosowywania Twojej Szkoły Jazdy do nowych regulacji. Masz jeszcze czas, by zaplanować terminy z wyprzedzeniem i zdążyć ze wszystkim. Oceń na co będziesz potrzebować najwięcej czasu. Zacznij od najbardziej pracochłonnych działań.
Oceń ryzyko
RODO wymaga, żebyś przeprowadził w swoim OSK analizę ryzyka, jakiem poddawane są dane osobowe w Twojej firmie (dane Twoich Pracowników, Współpracowników oraz przede wszystkim dane Twoich Klientów). Obowiązek przeprowadzenia analizy ryzyka wynika z różnych przepisów prawa. Należy przede wszystkim pamiętać, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
W szczególności chodzi o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zagrożeń, zadań i obszarów do analizy jest więc zatem wiele. Te określone w przepisach prawa i przede wszystkim te, za które odpowiada administrator danych, to między innymi aktualizacja procedur i dokumentacji dotyczących ochrony danych. To również dbałość o to, aby osoby uczestniczące w procesie przetwarzania informacji posiadały odpowiednie upoważnienia, były przeszkolone i miały dostęp jedynie do tych danych, jakie są im niezbędne do wykonywania obowiązków służbowych.
Dosłownie: w jakich sytuacjach zachodzi realne ryzyko, że nazwiska Twoich Klientów trafią w niepowołane ręce? Kto ma dostęp do komputera, w którym przechowujesz takie informacje? Czy jako administrator danych ponoszący odpowiedzialność za bezpieczeństwo danych osobowych w Twoim OSK wiesz, kto i kiedy logował się do system, kto i kiedy wchodzi do pomieszczeń, w których przetwarzane są dane, kto ma klucze do pomieszczeń i zna kod do odblokowania alarmu? Co się dzieje z dokumentami zawierającymi dane osobowe, gdzie są przechowywane? Czy przypadkowa osoba nie może „podejrzeć” danych znajdujących się w segregatorach na biurkach, bądź wyświetlonych na ekranie komputera?
Później określ następstwa wystąpienia zagrożenia wycieku tych danych. Co się może stać, jeśli Tobie lub Twojemu współpracownikowi zostanie ukradziony laptop lub zgubisz pendrive z danymi? Jakie to może pociągnąć za sobą konsekwencje? Na koniec ustal co trzeba zrobić, żeby zapobiec takim wypadkom. Przygotuj zabezpieczenia adekwatne do ewentualnych zagrożeń.
Przyjrzyj się komputerom, sieci
Dziś już niewiele informacji trafia na papier. Zwykle wszystkie dane lądują od razu w komputerze, a stamtąd trafiają do sieci. Tej wewnętrznej, firmowej (tak żeby wszyscy pracownicy mieli do nich wygodny dostęp), albo zewnętrznej, czyli do internetu. Wiesz już który z etapów zarządzania danymi Twoich klientów jest najbardziej ryzykowny. Co jest słabym punktem całego procesu, który zaczyna się z chwilą, gdy Klient podpisuje z Tobą umowę, kiedy powierza Ci swoje dane. Połóż nacisk na ten punkt. Jeśli przenosisz dane Klientów, masz je zapisane w laptopie, pomyśl o jego zaszyfrowaniu. Tak, żeby w razie jego kradzieży albo zagubienia, nie było ryzyka, że ktoś przejmie informacje o Twoich kursantach. Częściej zmieniaj hasła, zabezpiecz firmowe WiFi. Nie zapominaj też o bezpieczeństwie pomieszczeń, w których stoją komputery z danymi. Może pora na wymianę zamka w drzwiach na nowszy?
Przeprowadź szkolenia pracowników
Mając komplet wiedzy o ryzyku i mając za sobą działania zmierzające do zmniejszenia tego ryzyka, pora na szkolenie pracowników Twojego OSK. Każdy, kto pracuje w Twojej firmie musi wiedzieć, że dane osobowe powierzone Twojemu Ośrodkowi, muszą pozostać bezpieczne. Pracownicy muszą posiadać odpowiednie upoważnienia, być przeszkoleni w zakresie ochrony danych i mieć dostęp jedynie do tych danych, jakie są im niezbędne do wykonywania obowiązków służbowych. Poinformuj o nowych regułach pracy z danymi, przydziel pracownikom uprawnienia zależne np. od etapów szkolenia, na których mają do nich dostęp do danych Klientów. Uczul wszystkich, że od bezpieczeństwa tych danych może zależeć los firmy, a na pewno jej prestiż i zaufanie Klientów.
Informuj kursantów
Jakie dane Klientów możesz przetwarzać decydują przepisy. Ale w praktyce, niezbędne jest posiadanie numerów telefonów, bądź adresy e-mail Klientów, a przepisy prawa nie wskazują, że tego typu dane osobowe Klientów możesz przetwarzać. W tej sytuacji Klient, który do Ciebie przychodzi, może, ale nie musi udostępnić Ci tego typu dane. Jeśli to zrobi, powinien to zrobić na piśmie .. Jednocześnie Ty, jako administrator danych, masz obowiązek poinformować Klienta o okolicznościach przetwarzania danych (np. swoim adresie, celu przetwarzania itd.).
Ten obowiązek istnieje już od dawna, ale po wprowadzeniu RODO, będziesz musiał teraz poinformować Klientów również o podstawie prawnej przetwarzania danych, czy dane będą udostępniane innym podmiotom, o okresie, w jakim ich dane będą u Ciebie przetwarzane, a także o wszystkich prawach przysługujących Klientowi, odnośnie jego danych osobowych. Klient musi wiedzieć jak może cofnąć swoją zgodę i komu się poskarżyć, jeśli uzna, że któreś z jego praw zostało naruszone (pouczyć o prawie wniesienia skargi do organu nadrzędnego). Dziś jest to Generalny Inspektor Ochrony Danych Osobowych, od czerwca 2018 r. – Prezesa Urzędu Ochrony Danych Osobowych.
Podsumuj działania
Przeprowadź audyt wszystkich działań, jakie Ty i Twój OSK podjęliście, żeby dostosować się do nowych przepisów. Dobrze będzie, jeśli spiszesz różnice pomiędzy wymogami prawnymi w zakresie bezpieczeństwa danych osobowych a tym, co jest realizowane w Twoim OSK. Sprawdź, co powinieneś mieć i robić, a co masz i robisz. Mając w garści taką analizę, od razu zauważysz, czy jeszcze czegoś nie brakuje albo czy coś można było zrobić lepiej.
Zrób to sam lub zleć to fachowcom
Możesz wdrożyć nowe reguły postępowania z danymi Twoich Klientów samodzielnie, albo powierzyć ten proces specjalistom. Prawnicy i fachowcy w dziedzinie zarządzania i ochrony danych osobowych, posiadajacy odpowiednia wiedze i praktykę, podejmą działania, dzięki którym zyskasz pewność, że wszystko jest zrobione tak, jak być powinno. Twoi Klienci na pewno to docenią!