Co więc pozostaje firmom, które chcą się rzetelnie stosować do przepisów unijnego rozporządzenia? Potraktować poważnie wymóg analizy ryzyka i uczynić go podstawą swoich wszelkich działań w dziedzinie ochrony danych osobowych! Co to w praktyce oznacza? Przede wszystkim potrzebę stałego monitorowania sytuacji zarówno wewnątrz firmy, jak i w jej zewnętrznym otoczeniu. Należy śledzić zmiany technologiczne, analizować trendy biznesowe, które mogą decydować o zapotrzebowaniu na przetwarzanie danych osobowych, aktualizować mapę zagrożeń i nowych rodzajów ryzyka związanych z danymi, jakimi dysponuje ich administrator. Nie obejdzie się bez audytu przeprowadzanego minimum raz na rok, a w uzasadnionych przypadkach zapewne i częściej.

Osobną kwestią jest zwracanie uwagi na zmiany prawa, które mogą mieć wpływ na sposoby i zakres stosowania niektórych przepisów RODO. Obowiązująca od 4 maja 2019 r. ustawa dostosowująca polskie przepisy sektorowe do wymogów RODO (Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) zmienia 162 krajowe akty prawne. Nowe uregulowania pojawiły się w wyniku tego m.in. w prawie bankowym, prawie pracy, przepisach dotyczących dokumentacji medycznej czy prawie karnym.

W niektórych przypadkach, jak na przykład Kodeks pracy, zmiany mogą być znaczące a także wymagać dostosowania zasad przetwarzania danych osobowych do nowych regulacji. Nie znaczy to, że będą one już obowiązywały zawsze. Nie jest wykluczone, że kolejne zmiany w przepisach branżowych również będą mieć istotny wpływ na zabezpieczanie danych wymagane przez RODO. Nie ma więc innego wyjścia, jak uważnie śledzić zmiany w prawie pod kątem ich powiązania z wymogami unijnego rozporządzenia.

Stały element gry

Warto sobie uświadomić, że od RODO nie ma odwrotu. Zapewnienie zgodności z tym rozporządzeniem musi być już stałym, integralnym elementem systemu zarządzania bezpieczeństwem informacji we wszystkich  przedsiębiorstwach i  instytucjach. Wymogi wynikające z wprowadzonych w ubiegłym roku unijnym rozporządzeniem przepisów o ochronie danych osobowych muszą być uwzględniane w każdym miejscu ich przetwarzania, w każdym procesie, w ramach którego takie przetwarzanie następuje, i na każdym etapie życia narzędzi oraz systemów informatycznych i urządzeń, które do przetwarzania danych są wykorzystywane.

I nie da się tego zrobić inaczej jak przez ciągłe, uważne śledzenie rozwoju sytuacji w różnych obszarach funkcjonowania organizacji przetwarzającej dane osobowe. Analiza ryzyka wymaga monitorowania zarówno samych zagrożeń, jak i związanych z nimi technologii oraz trendów rynkowych. Dbałość o przestrzeganie zapisów unijnego rozporządzenia musi być stałym składnikiem zarządzania bezpieczeństwem informacji w firmie, chociaż stosowane w praktyce rozwiązania mogą się nieustannie zmieniać pod wpływem modyfikacji uwarunkowań różnych aspektów aktywności biznesowej. Nadążanie za zmianami i wybór adekwatnych w danej sytuacji rozwiązań pozostanie z pewnością największym wyzwaniem.