Rozporządzenie RODO/GDPR zmienia podejście do kwestii ochrony danych w UE. Dotyczy wszystkich przedsiębiorstw, które gromadzą i przechowują dane osobowe – również w branży Automotive.
Zgodność z RODO/GDPR to obowiązek prawny. Administrowanie danymi zgodnie z nowymi przepisami stanowi również ważną wartość w kontaktach firmy z partnerami biznesowymi, wpływając na pozytywny wizerunek rynkowy. To dowód na rzetelność podmiotu dbającego o bezpieczeństwo danych kontrahentów oraz wychodzącego naprzeciw wyzwaniom cyberbezpieczeństwa.
Aby uzyskać obiektywną weryfikację zgodności podejmowanych działań z wymaganiami RODO firmy coraz częściej zlecają specjalistyczny audyt niezależnym ekspertom. Oto wybrane aspekty oceniane w jego trakcie:
Ocena ryzyka
RODO wymaga uwzględniania oceny ryzyka i jego potencjalnych skutków dla ochrony danych na etapie projektowania procesów („privacy by design”), także z udziałem partnerów i podwykonawców. Wdrażając zarządzanie ryzykiem należy kierować się zasadą „privacy by default” – domyślną ochrona danych. Administrator musi też uzasadnić, dlaczego zastosował określone środki bezpieczeństwa.
Poziom akceptacji ryzyka winien być uzgodniony z kierownictwem oraz uwzględniać dobre praktyki i specyfikę branży. Audytorzy sprawdzą też monitorowanie ryzyk w procesie zarządzania zmianą.
Legalność przetwarzania danych osobowych
Firma powinna zweryfikować podstawę prawną, a w szczególności udzielone zgody na przetwarzanie danych. Audytorzy ocenią m.in. konstrukcję zgody, sprawdzając, czy została pozyskana w sposób dobrowolny, konkretny, świadomy i jednoznaczny, oraz wyrażona aktywnie (nie „domniemana”).
Dla uzyskania świadomej zgody istotne jest spełnienie obowiązku informacyjnego. Osobę, której dane są przetwarzane, należy poinformować m.in. o tożsamości administratora danych, o celu i czasie przetwarzania, o przysługującym prawie do wycofania zgody, oraz czy stosowane jest profilowanie i czy dane będą przekazywane do krajów spoza UE.
Usuwanie i niszczenie danych osobowych
Jeśli wycofano zgodę lub upłynął czas na przetwarzanie danych w związku z określonym celem, należy zaprzestać wszelkich operacji przetwarzania danych. Dane powinny zostać usunięte lub zanonimizowane przez administratora. Audytor sprawdzi, w jaki sposób klient może cofnąć zgodę, oraz jak jego decyzja jest procesowana w organizacji.
Odpowiedzialność za ochronę danych osobowych
Za ochronę danych odpowiada kierownictwo i pracownicy liniowi. Niezbędne jest zapewnienie wsparcia i zasobów ze strony menedżerów oraz zaangażowanie personelu. Ważne są takie elementy, jak: czyste biurko, polityka haseł, zasady zgłaszania incydentów itp.
Audyt i szkolenia z zakresu ochrony danych osobowych
Realizacja zewnętrznego audytu winna odbyć się w dwóch fazach. Najpierw klient dokonuje wstępnej samooceny. Można ją przeprowadzić np. korzystając z bezpłatnej internetowej Platformy echeck.dekra.pl. Audyt na miejscu uwzględnia ocenę procesów przetwarzania danych osobowych w powiązaniu ze spełnieniem obowiązków prawnych oraz skuteczność zastosowanych mechanizmów bezpieczeństwa.
Ważnym elementem przygotowania do RODO są szkolenia i warsztaty: ogólne, dotyczące przepisów zawartych w rozporządzeniu RODO, ale też opracowane z myślą o konkretnych grupach zawodowych (HR, sprzedaż). Osobną kwestią jest zadbanie o kwalifikacje przyszłego Inspektora Ochrony Danych.
Cybersecurity i ochrona danych będą jednymi z tematów, które eksperci DEKRA poruszą podczas wykładu Cyberbezpieczeństwo w dobie innowacji w Automotive, w ramach konferencji AutoEvent 2018. Grupa DEKRA w Polsce jest partnerem branżowym wydarzenia.