Pierwszym krokiem będzie na pewno zmiana sposobu myślenia administratorów danych. Do tej pory ustawodawca wskazywał bezpośrednio jakie zabezpieczenia teleinformatyczne oraz organizacyjne należy wdrożyć aby być zgodnym z założeniami ochrony danych osobowych. Nadto wskazywał jaką dokumentację winien posiadać administrator i co powinno się na nią składać. RODO jest natomiast neutralne technologicznie. Co więcej poza obowiązkiem prowadzenia rejestru czynności przetwarzania nie definiuje dokumentacji jaką powinien posiadać administrator. Bynajmniej nie oznacza to, iż takowej posiadać nie trzeba.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Administratorzy danych osobowych będą budować swoje systemy ochrony danych osobowych w oparciu o ustanowioną w RODO zasadę rozliczalności. Zgodnie z nią organizacja jest odpowiedzialna za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. Skąd w takim razie wiadomo jakie środki i zabezpieczenia przy przetwarzaniu danych osobowych zastosować? Administratorzy danych osobowych będą musieli oszacować ryzyko wiążące się z procesem przetwarzania danych osobowych. Oceniając przedmiotowe ryzyko będzie trzeba wziąć m.in. pod uwagę ryzyko w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Organizacjom mającym wdrożone normy ISO zgodnie, z którymi dokonują szacowania ryzyka będzie na pewno łatwiej przeprowadzić ten proces. Ocena ryzyka powinna pokazać administratorowi danych jakie winien zastosować zabezpieczenia i środki do przetwarzania danych osobowych.
Ponieważ proces wdrażania zmian w funkcjonującym systemie ochrony danych osobowych będzie procesem wieloetapowym wymaga współdziałania wszystkich struktur organizacji. Administrator danych powinien powołać zespół dostosowawczy, który będzie koordynował poszczególne etapy prac wdrożeniowych. Zespół ten będzie musiał w pierwszej kolejności przeprowadzić audyt zerowy aby zdefiniować stan wyjściowy systemu ochrony danych osobowych. Następnie dostosować wszystkie funkcjonujące w organizacji procesy przetwarzania danych osobowych do postanowień RODO, zabezpieczenia danych osobowych, środki biorące udział w procesie przetwarzania danych osobowych w tym systemy informatyczne. Zespół wdrożeniowy powinien stworzyć odpowiednie polityki i procedury w ramach, których będzie funkcjonować organizacja, w tym jej pracownicy. Administrator danych może jako bazę wyjściową wykorzystać swoją starą dokumentację ochrony danych osobowych dostosowując ją do wymogów RODO. Nadto będzie musiał się zastanowić nad stworzeniem nowych procedur np. postępowania w razie wystąpienia naruszenia ochrony danych osobowych, które mogło skutkować ryzykiem naruszenia praw lub wolności osób fizycznych.
Z pierwszych doświadczeń płynących z procesu wdrażania wymagań narzuconych przez RODO wynika, iż dużym wyzywaniem w procesie dostosowawczym będzie dostosowanie systemów informatycznych. Będą one bowiem musiały posiadać funkcjonalności umożliwiające m.in. całkowite usuwanie danych osoby, której dane dotyczą, przenoszenie do innego usługodawcy jej danych osobowych, generowanie pliku z wszystkimi jej danymi osobowymi itd. Pamiętajmy, że zapisy RODO dają administratorowi na to 1 miesiąc czasu. W razie potrzeby termin ten można przedłużyć maksymalnie o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.
Organizacje muszą sobie uświadomić, że proces wdrożeniowy będzie procesem złożonym wymagającym współpracy wszystkich struktur administratora danych.