Realizacja praw podmiotów danych w praktyce – część I
08.04.2019
Autor: Daria Worgut-Jagnieża
RODO nadaje osobom fizycznym szereg praw związanych z przetwarzaniem ich danych osobowych. Prawa te stanowią jeden z filarów ochrony prywatności osób fizycznych. Największą uwagę poświęcano do tej pory prawu „do bycia zapomnianym” i prawu do przeniesienia danych. Stąd większość organizacji dostosowując się do nowych wymagań, opracowywała lub modyfikowała istniejące procedury realizacja praw podmiotów danych.
Rozwiązania przyjęte w procedurach, jak i poziom ich szczegółowości są różnorodne. Niejednokrotnie procedury implementowane są na poziomie grupy kapitałowej (lokalnie lub globalnie). Wymagają one wdrożenia szczegółowych instrukcji dla pracowników organizacji. Zarówno RODO, jak i Ustawa o ochronie danych osobowych, nie nakładają obowiązku wdrożenia procedury realizacji praw podmiotów danych. RODO wymaga skutecznej i terminowej realizacji żądań podmiotów danych. Czy wdrożone przez administratorów rozwiązania pozwoliły im w praktyce osiągnąć ten cel? Jak należałoby zatem zbudować prawidłowo funkcjonujący proces obsługi żądań podmiotów danych?
Mapowanie dokumentacji i systemów IT
Tworzenie procedury należy zacząć od zidentyfikowania dokumentacji i systemów informatycznych, w których przetwarzane są dane osobowe. Szczególną uwagę należy poświęcić przepływom danych pomiędzy systemami, częstotliwości i kierunkowi przepływu oraz zakresowi wymienianych danych. Poza systemami dziedzinowymi (np. CRM, system kadrowo-płacowy), należy pamiętać o systemach wsparcia (np. helpdesk, system obiegu dokumentów) oraz bazach przechowywanych na dyskach czy zasobach sieciowych. Kolejnym krokiem jest analiza wpływu żądań realizacji każdego z praw przysługujących podmiotom danych na zidentyfikowane zasoby (dokumenty i systemy). Celem analizy jest wskazanie systemów, w których dany typ żądania np. usunięcia danych będzie realizowany. W niektórych przypadkach może to być kilka systemów.
Instrukcja – krok po kroku
Aby procedura była praktyczna, warto precyzyjnie określić w niej kolejne kroki. Zarówno te realizowane dla wszystkich typów żądań, jak i te specyficzne dla danego typu żądania. Dla każdego kroku wymienionego w procedurze powinien zostać wskazany maksymalny czas realizacji. Dzięki temu proces realizacji żądania zostanie zaplanowany tak, aby zrealizować żądanie w terminie 30 dni, a osoby zaangażowane do poszczególnych zadań, będą znały ramy czasowe w jakich się poruszają.
Zdefiniowanie ról
Procedura powinna wskazywać właścicieli biznesowych konkretnych procesów przetwarzania danych i przypisane im role w procesie realizacji żądań. W zależności od wielkości organizacji i złożoności struktury organizacyjnej warto wskazać w procedurach te osoby z imienia i nazwiska wraz z podaniem ich danych kontaktowych. Dzięki temu możliwe będzie sprawne odszukanie właściciela biznesowego danych, pozostawiając zapas czasu na samą realizację żądania.
Wśród administratorów przyjęto różne rozwiązania co do ról w procesie realizacji żądań. Najprostszym rozwiązaniem jest powierzenie całości zadań tj. przyjmowania i obsługi żądań jednej osobie. Może być nią Inspektor Ochrony Danych czy inna osoba wyznaczona w organizacji. Z rozwiązania tego najczęściej korzystają niewielkie organizacje, gdyż wymaga ono, aby osoba realizująca żądania miała dostęp do systemów IT i dokumentacji i mogła samodzielnie dokonać zmian związanych z żądaniem.
Drugi z modeli polega na przyjmowaniu zgłoszeń i koordynacji ich realizacji przez Inspektora Ochrony Danych (czy inną wyznaczoną osobę), natomiast fizycznym zrealizowaniem żądania w dokumentacji i/lub systemie IT zajmują się właściciele biznesowi albo pracownicy IT, wskazani dla poszczególnych systemów.
Trzeci model jest najbardziej złożony, występuje w dużych grupach kapitałowych lub korporacjach międzynarodowych. Rola Inspektora Ochrony Danych ogranicza się tutaj właściwie do udostępnienia „skrzynki podawczej”, do której napływają żądania. Inspektor Ochrony Danych nadzoruje proces i stanowi wsparcie w trudniejszych przypadkach. Większość pracy wykonywana jest przez koordynatorów (nazywanych Privacy Steward albo Privacy Coordinator), którzy rejestrują żądania, a następnie przekazują je do realizacji właścicielom biznesowym czy pracownikom zespołu IT.
Wiele korporacji działających transgranicznie, powołało Privacy Office, którego zadaniem jest m in. przyjmowanie i realizacja żądań kierowanych do wszystkich spółek, oddziałów itp. Rozwiązanie takie okazuje się być nieefektywne czasowo, a główną przyczyną jest język komunikacji. Aby obsłużyć wpływające żądania z wielu krajów, Privacy Office w pierwszej kolejności musi rozpoznać język, w jakim napisane jest żądanie, a następnie przekazać żądanie do tłumaczenia na język angielski do kraju, z którego pochodzi żądanie. Dopiero od tego momentu możliwa jest analiza treści żądania i w zależności od sytuacji, udzielenie odpowiedzi lub złożenie prośby o wyjaśnienie w języku angielskim. W efekcie spora część czasu konsumowana jest na dokonywanie tłumaczeń i związaną z tym korespondencję pomiędzy Privacy Office a Privacy Stewardem.
Autor
Daria Worgut-Jagnieża
Od kilkunastu lat kieruje projektami audytowymi i doradczymi w obszarze ochrony danych osobowych oraz bezpieczeństwa informacji. Pełni funkcję Inspektora Ochrony Danych w wielu międzynarodowych korporacjach m.in. z branży farmaceutycznej.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!