Pomimo że minął rok stosowania Rozporządzenia o ochronie danych osobowych (RODO), wielu administratorów wciąż boryka się z wdrożeniem jego przepisów. Firmy, które już zakończyły prace wdrożeniowe, nie powinny spoczywać na laurach. Wdrożenie wymagań prawnych w zakresie ochrony danych osobowych nie polega na jednorazowej implementacji stanu zgodnego z prawem i mówiąc potocznie – odłożeniu tematu do szuflady. Zapewnienie zgodności z RODO jest procesem ciągłym.
System ochrony danych podlega regularnym przeglądom i poprawkom wynikającym z tych przeglądów. Aby zapewnić zgodność organizacji z przepisami, zaimplementowane przez administratorów systemy ochrony danych osobowych muszą być dynamiczne i nieustannie doskonalone. Ostanie miesiące pokazują, że zarówno zmiany przepisów jak też decyzje i wytyczne PUODO czy organów kontrolnych innych krajów, rodzą konieczność modyfikacji wdrożonych dokumentów czy przebiegu procesów biznesowych. Jednym z kluczowych elementów prawidłowo funkcjonującego systemu ochrony danych oraz zapewnienia jego organicznego rozwoju jest świadomość i zaangażowanie pracowników. Niniejszy artykuł przybliża powody, dla których warto podejść do tego elementu z odpowiednią uwagą.
Interpretacja przepisów RODO często sprawia trudność nawet osobom profesjonalnie zajmującym się tematyką danych osobowych. Tym bardziej pracownicy, którzy przy wykonywaniu swoich obowiązków mają dostęp do danych, nie zawsze posiadają odpowiednią wiedzę jak przetwarzać je bezpiecznie
i zgodnie z zasadami. Obowiązkiem pracodawcy jest stałe podnoszenie wiedzy pracowników w tym zakresie – zarówno poprzez okresowe szkolenia jak i możliwość kontaktu z Inspektorem Ochrony Danych lub inną osobą odpowiedzialną za ochronę danych osobowych w organizacji. Nie ulega wątpliwości, że pracownicy muszą znać zasady bezpieczeństwa przetwarzania, gdyż to pracownik może być najsłabszym elementem systemu bezpieczeństwa przetwarzania danych (np. jeżeli jest źle przeszkolony). Jest też pierwszym ogniwem w organizacji, które ma bezpośredni dostęp do danych
i często od jego prawidłowej reakcji zależy, m.in. sprawne zarządzanie incydentami bezpieczeństwa. Świadomy pracownik może okazać się zatem pierwszą zaporą przed nieuprawnionym dostępem do danych osobowych lub kluczowym zasobem dla wypełnienia wymogów wynikających z RODO, chociażby szybko reagując na incydent.
Jakie sytuacje świadczące o braku wiedzy na temat zasad przetwarzania danych osobowych
u pracowników administratorów występują najczęściej?
- Brak umów powierzenia przetwarzania danych osobowych – nie wszystkie podmioty działające na rynku mają w swojej strukturze organizacyjnej prawnika czy dział prawny, który czuwa nad treścią podpisanych z dostawcami umów. Przeważa model, w którym właściciele biznesowi sami zawierają umowy z dostawcami, których wybrali. Niejednokrotnie nie mają świadomości, że w przypadku konkretnej współpracy dochodzi do powierzenia przetwarzania danych osobowych i istnieje obowiązek zawarcia z dostawcą umowy powierzenia przetwarzania, która w dodatku będzie zawierała odpowiednie postanowienia wymagane przez RODO.
- Brak konsultacji w ramach realizacji podejścia privacy by design i privacy by default – niejeden dział marketingu doświadczył przykrej sytuacji, kiedy dział prawny zakomunikował mu, że zebrana przez niego baza kontaktów nie może zostać wykorzystana w żadnych działaniach marketingowych i należy ją usunąć, gdyż dane zostały zebrane w sposób nieprawidłowy. W podobnych przypadkach świadomość pracowników, którzy na etapie planowania swoich działań będą pamiętać o konsultowaniu ich z działam prawnym lub Inspektorem Ochrony Danych pozwoli unikać takich sytuacji.
- Brak reakcji lub nieterminowa reakcja na żądania podmiotów danych – RODO kładzie duży nacisk na sprawną realizację praw podmiotów danych przez administratorów, wyznaczając m.in. miesięczny termin realizacji żądań. Żądania podmiotów danych wpływają do administratorów różnymi drogami, niekoniecznie bezpośrednio do Inspektora Ochrony Danych czy osoby dedykowanej do obsługi tych żądań. Osoby składają żądania
w najbardziej wygodny dla siebie sposób. Przykładowo, zgłaszają je bezpośrednio do pracownika, z którym współpracują lub aktualnie załatwiają swoją sprawę. Jeśli Ci pracownicy nie nadadzą takiemu zgłoszeniu odpowiedniego biegu zgodnego z procedurą, organizacja ryzykuje brak prawidłowego postępowania, a w konsekwencji ryzyko skargi podmiotu danych do PUODO, co z kolei może skończyć się kontrolą lub nawet sankcją finansową.
- Powodowanie incydentów bezpieczeństwa danych – brak znajomości lub niestosowanie przyjętych zasad bezpieczeństwa takich jak obowiązek szyfrowania załączników, zawierających dane osobowe, przesyłanych pocztą elektroniczną lub brak wiedzy czego nie można udostępniać, są najczęstszą przyczyną incydentów. Wiele incydentów wynika z braku roztropności pracowników. Na przykład wysłanie do klienta dokumentu, który dotyczy innego klienta. Wiedząc, że jest to częsty przypadek w naszej organizacji, możemy kłaść nacisk na to, aby pracownicy dokonywali dodatkowego sprawdzenia poprawności załączonego dokumentu.
- Niezgłaszanie incydentów – częstą bolączką systemów bezpieczeństwa danych osobowych czy systemów bezpieczeństwa informacji jest brak zgłoszeń podejrzenia wystąpienia incydentów, a w konsekwencji puste rejestry incydentów. Nie zawsze brak zgłoszeń jest odzwierciedleniem rzeczywistego braku incydentów. Nagminnie występującym incydentem jest kradzież lub zagubienie służbowego laptopa czy smartphone’a. Na urządzeniach, w zależności od pełnionej w organizacji roli, zapisanych jest wiele danych. Dodatkowo może istnieć możliwość uzyskania z nich dostępu do systemów informatycznych firmy, np. CRM. Tylko niewielki procent pracowników traktuje takie zdarzenie jako incydent bezpieczeństwa i powiadamia pracodawcę. Robią to raczej w kontekście utraconego mienia i niemożności wykonywania swoich obowiązków. A przecież szybka reakcja pracownika pozwoli administratorowi na minimalizację strat. W omawianym przypadku administrator mógłby zablokować dostęp do urządzenia lub treści na nim zawartych wykorzystując do tego rozwiązania typu mobile device management, czy po prostu poprzez zmianę danych służących do autoryzacji.
- Nieterminowe zgłaszanie incydentów – zdarza się, że pracownicy wiedzą, że mają obowiązek zgłosić incydent, jednak z uwagi na inne obowiązki odkładają to w czasie. Zgodnie z RODO
incydenty skutkujące wysokim ryzykiem powinny być zgłoszone do PUODO w terminie 72 godzin od stwierdzenia ich wystąpienia. Natychmiastowa reakcja pracownika jest więc kluczowa dla szybkiej oceny wagi incydentu, wprowadzenia działań naprawczych i dokonania ewentualnego zgłoszenia do PUODO, czy zawiadomienia podmiotów danych. Najbardziej skrajny, znany nam przypadek niedotrzymania terminu to incydent, który został zgłoszony z kilkutygodniowym opóźnieniem. Opóźnienie wynikało z braku reakcji pracowników działu marketingu na sygnały o incydencie otrzymywane od podwykonawcy zajmującego się bazą danych administratora oraz z braku postrzegania zdarzenia jako incydentu, mającego wpływ na bezpieczeństwo przetwarzania danych osobowych. Nie ulega wątpliwości, że przy wyższym poziomie wiedzy i świadomości pracowników incydent zostałby obsłużony zdecydowanie szybciej.
To tylko niektóre z występujących konsekwencji braku świadomości pracowników. Patrząc na nie przez pryzmat art. 83 RODO, każdy z tych przypadków jest naruszeniem przepisów i może skutkować nałożeniem na administratora danych kary pieniężnej.
Autor
Daria Worgut-Jagnieża i Agnieszka Świerczyńska