Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Realizacja praw podmiotów danych w praktyce – część I

Realizacja praw podmiotów danych w praktyce – część I

08.04.2019
Autor: Daria Worgut-Jagnieża
prawa podmiotów danych

RODO nadaje osobom fizycznym szereg praw związanych z przetwarzaniem ich danych osobowych. Prawa te stanowią jeden z filarów ochrony prywatności osób fizycznych. Największą uwagę poświęcano do tej pory prawu „do bycia zapomnianym” i prawu do przeniesienia danych. Stąd większość organizacji dostosowując się do nowych wymagań, opracowywała lub modyfikowała istniejące procedury realizacja praw podmiotów danych.

Rozwiązania przyjęte w procedurach, jak i poziom ich szczegółowości są różnorodne. Niejednokrotnie procedury implementowane są na poziomie grupy kapitałowej (lokalnie lub globalnie). Wymagają one wdrożenia szczegółowych instrukcji dla pracowników organizacji. Zarówno RODO, jak i Ustawa o ochronie danych osobowych, nie nakładają obowiązku wdrożenia procedury realizacji praw podmiotów danych. RODO wymaga skutecznej i terminowej realizacji żądań podmiotów danych. Czy wdrożone przez administratorów rozwiązania pozwoliły im w praktyce osiągnąć ten cel? Jak należałoby zatem zbudować prawidłowo funkcjonujący proces obsługi żądań podmiotów danych?

Mapowanie dokumentacji i systemów IT

Tworzenie procedury należy zacząć od zidentyfikowania dokumentacji i systemów informatycznych, w których przetwarzane są dane osobowe. Szczególną uwagę należy poświęcić przepływom danych pomiędzy systemami, częstotliwości i kierunkowi przepływu oraz zakresowi wymienianych danych. Poza systemami dziedzinowymi (np. CRM, system kadrowo-płacowy), należy pamiętać o systemach wsparcia (np. helpdesk, system obiegu dokumentów) oraz bazach przechowywanych na dyskach czy zasobach sieciowych. Kolejnym krokiem jest analiza wpływu żądań realizacji każdego z praw przysługujących podmiotom danych na zidentyfikowane zasoby (dokumenty i systemy). Celem analizy jest wskazanie systemów, w których dany typ żądania np. usunięcia danych będzie realizowany. W niektórych przypadkach może to być kilka systemów.

Instrukcja – krok po kroku

Aby procedura była praktyczna, warto precyzyjnie określić w niej kolejne kroki. Zarówno te realizowane dla wszystkich typów żądań, jak i te specyficzne dla danego typu żądania. Dla każdego kroku wymienionego w procedurze powinien zostać wskazany maksymalny czas realizacji. Dzięki temu proces realizacji żądania zostanie zaplanowany tak, aby zrealizować żądanie w terminie 30 dni, a osoby zaangażowane do poszczególnych zadań, będą znały ramy czasowe w jakich się poruszają.

Zdefiniowanie ról

Procedura powinna wskazywać właścicieli biznesowych konkretnych procesów przetwarzania danych i przypisane im role w procesie realizacji żądań. W zależności od wielkości organizacji i złożoności struktury organizacyjnej warto wskazać w procedurach te osoby z imienia i nazwiska wraz z podaniem ich danych kontaktowych. Dzięki temu możliwe będzie sprawne odszukanie właściciela biznesowego danych, pozostawiając zapas czasu na samą realizację żądania.

Wśród administratorów przyjęto różne rozwiązania co do ról w procesie realizacji żądań. Najprostszym rozwiązaniem jest powierzenie całości zadań tj. przyjmowania i obsługi żądań jednej osobie. Może być nią Inspektor Ochrony Danych czy inna osoba wyznaczona w organizacji. Z rozwiązania tego najczęściej korzystają niewielkie organizacje, gdyż wymaga ono, aby osoba realizująca żądania miała dostęp do systemów IT i dokumentacji i mogła samodzielnie dokonać zmian związanych z żądaniem.

Drugi z modeli polega na przyjmowaniu zgłoszeń i koordynacji ich realizacji przez Inspektora Ochrony Danych (czy inną wyznaczoną osobę), natomiast fizycznym zrealizowaniem żądania w dokumentacji i/lub systemie IT zajmują się właściciele biznesowi albo pracownicy IT, wskazani dla poszczególnych systemów.

Trzeci model jest najbardziej złożony, występuje w dużych grupach kapitałowych lub korporacjach międzynarodowych. Rola Inspektora Ochrony Danych ogranicza się tutaj właściwie do udostępnienia „skrzynki podawczej”, do której napływają żądania. Inspektor Ochrony Danych nadzoruje proces i stanowi wsparcie w trudniejszych przypadkach. Większość pracy wykonywana jest przez koordynatorów (nazywanych Privacy Steward albo Privacy Coordinator), którzy rejestrują żądania, a następnie przekazują je do realizacji właścicielom biznesowym czy pracownikom zespołu IT.

Wiele korporacji działających transgranicznie, powołało Privacy Office, którego zadaniem jest m in. przyjmowanie i realizacja żądań kierowanych do wszystkich spółek, oddziałów itp. Rozwiązanie takie okazuje się być nieefektywne czasowo, a główną przyczyną jest język komunikacji. Aby obsłużyć wpływające żądania z wielu krajów, Privacy Office w pierwszej kolejności musi rozpoznać język, w jakim napisane jest żądanie, a następnie przekazać żądanie do tłumaczenia na język angielski do kraju, z którego pochodzi żądanie. Dopiero od tego momentu możliwa jest analiza treści żądania i w zależności od sytuacji, udzielenie odpowiedzi lub złożenie prośby o wyjaśnienie w języku angielskim. W efekcie spora część czasu konsumowana jest na dokonywanie tłumaczeń i związaną z tym korespondencję pomiędzy Privacy Office a Privacy Stewardem.

Autor

Daria Worgut-Jagnieża

Od kilkunastu lat kieruje projektami audytowymi i doradczymi w obszarze ochrony danych osobowych oraz bezpieczeństwa informacji. Pełni funkcję Inspektora Ochrony Danych w wielu międzynarodowych korporacjach m.in. z branży farmaceutycznej.

Z tej samej kategorii

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>