Rozporządzenie RODO zmienia podejście do kwestii ochrony danych w UE. Dotyczy wszystkich przedsiębiorstw, które gromadzą i przechowują dane osobowe – również w branży Automotive. Wiele firm zwraca się o pomoc w tej kwestii do audytorów. Bezpłatnie można także skorzystać z materiałów zamieszczonych na stronie internetowej grupy Dekra.

RODO wymaga uwzględniania oceny ryzyka i jego potencjalnych skutków dla ochrony danych na etapie projektowania procesów, także z udziałem partnerów i podwykonawców. Wdrażając zarządzanie ryzykiem należy kierować się zasadą „privacy by default” – domyślną ochrona danych. Administrator musi też uzasadnić, dlaczego zastosował określone środki bezpieczeństwa.

Poziom akceptacji ryzyka powinien być uzgodniony z kierownictwem oraz uwzględniać dobre praktyki i specyfikę branży. Audytorzy sprawdzą też monitorowanie ryzyk w procesie zarządzania zmianą.

Firma powinna zweryfikować podstawę prawną, a w szczególności udzielone zgody na przetwarzanie danych. Audytorzy ocenią m.in. konstrukcję zgody, sprawdzając, czy została pozyskana w sposób dobrowolny, konkretny, świadomy i jednoznaczny, oraz wyrażona aktywnie (nie „domniemana”).

Dla uzyskania świadomej zgody istotne jest spełnienie obowiązku informacyjnego. Osobę, której dane są przetwarzane, należy poinformować m.in. o tożsamości administratora danych, o celu i czasie przetwarzania, o przysługującym prawie do wycofania zgody, oraz czy stosowane jest profilowanie i czy dane będą przekazywane do krajów spoza UE.

Jeśli wycofano zgodę lub upłynął czas na przetwarzanie danych w związku z określonym celem, należy zaprzestać wszelkich operacji przetwarzania danych. Dane powinny zostać usunięte lub zanonimizowane przez administratora. Audytor sprawdzi, w jaki sposób klient może cofnąć zgodę, oraz jak jego decyzja jest procesowana w organizacji.

Za ochronę danych odpowiada kierownictwo i pracownicy liniowi. Niezbędne jest zapewnienie wsparcia i zasobów ze strony menedżerów oraz zaangażowanie personelu. Ważne są takie elementy, jak: czyste biurko, polityka haseł, zasady zgłaszania incydentów itp.

Realizacja zewnętrznego audytu powinna odbyć się w dwóch fazach. Najpierw klient dokonuje wstępnej samooceny. Można ją przeprowadzić np. korzystając z bezpłatnej internetowej platformy echeck.dekra.pl. Audyt na miejscu uwzględnia ocenę procesów przetwarzania danych osobowych w powiązaniu ze spełnieniem obowiązków prawnych oraz skuteczność zastosowanych mechanizmów bezpieczeństwa.

Ważnym elementem przygotowania do RODO są szkolenia i warsztaty: ogólne, dotyczące przepisów zawartych w rozporządzeniu RODO, ale też opracowane z myślą o konkretnych grupach zawodowych (HR, sprzedaż). Osobną kwestią jest zadbanie o kwalifikacje przyszłego Inspektora Ochrony Danych.

Cybersecurity i ochrona danych będą jednymi z tematów, które eksperci Dekra poruszą podczas wykładu „Cyberbezpieczeństwo w dobie innowacji w Automotive”, w ramach konferencji AutoEvent 2018, która odbędzie się w dniach 19-21 czerwca 2018 w hotelu Ossa w Rawie Mazowieckiej. Grupa Dekra w Polsce jest partnerem branżowym wydarzenia.

Źródło: DEKRA, PIM