Wielkimi krokami zbliża się termin wejścia w życie rozporządzenia unijnego dotyczącego ochrony danych osobowych (to już 25 maja 2018 r.). Przedsiębiorcy mają obowiązek dostosowania się do zmian. A te nie zawsze są dla nich jasne.

Firma jako Administrator Danych Osobowych, ponosi odpowiedzialność za przetwarzanie i przechowywanie danych. Może posiłkować się we wdrożeniu nowych zadań Administratorem Bezpieczeństwa Informacji (może to być podmiot zewnętrzny, np. w ramach outsourcingu) oraz Administratorem Systemu Informatycznego (na ogół są to firmy informatyczne już współpracujące z danym podmiotem).

Należy uważnie przygotować się pod kątem organizacyjnym do wdrożenia nowych wytycznych. I tak warto zwrócić uwagę na następujące środki organizacyjne:
1. Prowadzenie dokumentacji przetwarzania danych osobowych.
2. Nadawanie upoważnień do przetwarzania danych osobowych oraz prowadzenie ewidencji osób upoważnionych.
3. Odbieranie od osób upoważnionych oświadczeń o poufności.
4. Zapoznawanie osób upoważnionych z przepisami oraz pilnowanie zgodności przetwarzania z przepisami i ich zmianami.
5. Kontrola nad danymi – jakie dane, komu są przekazywane, kiedy zostały wprowadzone, przez kogo.

W każdym podmiocie powinny znaleźć się dokumenty takie jak:
- Regulamin Ochrony Danych Osobowych
- Polityka Bezpieczeństwa
- Regulamin Zarządzania Systemem Informatycznym
- Klauzule (dostosowane do potrzeb danego podmiotu; zmiany tyczą się w dużej mierze działań marketingowych, PR – owych)
- np. przy założeniu, ze Administratorem Danych Osobowych jest spółka z ograniczoną odpowiedzialnością – stosowne uchwały, np. o przyjęciu Polityki Bezpieczeństwa, powołaniu ABI, itp.
- pozostałe niezbędne dokumenty takie jak przykładowo: lista osób upoważnionych do ochrony danych osobowych, powierzenia, itp.

Ważnym aspektem jest wprowadzenie zasad bezpieczeństwa technicznego, co wiąże się przede wszystkim z systemami informatycznymi. W systemie informatycznym musi wystąpić szereg czynników takich jak na przykład: ustalenie procedur nadawania uprawnień do ochrony danych osobowych, wskazanie osoby odpowiedzialnej za te czynności (albo podmiotu zewnętrznego), sposób, miejsce przechowywania kopii zapasowych, itp.

Każda działalność wymaga nieco innych zabiegów związanych z ochroną danych osobowych. Warto zatem przy wdrażaniu nowych przepisów sięgnąć do źródła czyli do rozporządzenia, a także bacznie przyglądać się nowelizacjom krajowych ustaw.