RODOdiagnoza – rok po wdrożeniu RODO
24.05.2019
Już jutro, 25 maja 2019r. mija rok stosowania RODO. Jak przy okazji każdej rocznicy, zaczynają się podsumowania – ile skarg wpłynęło do UODO, ile naruszeń zostało zgłoszonych, ile kar w tym czasie zostało nałożonych przez organ nadzorczy (podpowiadam – do czasu napisania artykułu – dwie).
Na pewno jest to rok, w którym podniosła się świadomość w zakresie ochrony danych osobowych zarówno wśród konsumentów jak i organizacji zajmujących się przetwarzaniem danych osobowych – i na tych ostatnich skupię swoją uwagę.
Organizacja przetwarzająca dane osobowe – niezależnie czy jest administratorem czy podmiotem przetwarzającym – zobowiązana jest nie tylko do wdrożenia RODO, ale również do utrzymania zgodności z RODO.
Samo wdrożenie polityk, procedur, nadanie upoważnień pracownikom i ich przeszkolenie, jak również zawarcie umów powierzenia danych i przygotowanie obowiązków informacyjnych (nie zawsze pisanych językiem jasnym, zwięzłym i zrozumiałym) – nie oznacza, że podmiot może uznać, że RODO działa w jego organizacji bez zarzutu. Tak naprawdę to dopiero początek. Utrzymanie zgodności z RODO jest procesem ciągłym, trwającym tak długo jak dany podmiot przetwarza dane osobowe – czyli praktycznie przez cały okres jego istnienia, a w dodatku jest procesem dynamicznym, który w zależności od okoliczności, musi uwzględniać różne zmienne.
Poniżej wskazane zostały działania, których podejmowanie zapewni administratorowi/podmiotowi przetwarzającemu bycie „zgodnym z RODO”.
1. Podnoszenie świadomości wśród pracowników z zakresu danych osobowych.
Interpretacja przepisów RODO często sprawia trudność osobom profesjonalnie zajmującym się tematyką danych osobowych. Tym bardziej pracownicy, którzy przy wykonywaniu swoich obowiązków mają dostęp do danych, nie zawsze posiadają odpowiednią wiedzę jak przetwarzać je bezpiecznie. Obowiązkiem pracodawcy jest stałe podnoszenie wiedzy pracowników w tym zakresie – zarówno poprzez okresowe szkolenia jak i możliwość kontaktu z IOD lub inną osobą odpowiedzialną za ochronę danych osobowych u pracodawcy – w celu wyjaśnienia ewentualnych wątpliwości związanych z przetwarzaniem danych. Pracownicy muszą znać zasady bezpieczeństwa przetwarzania. Należy pamiętać, że to pracownik może być najsłabszym elementem systemu bezpieczeństwa przetwarzania danych (jeżeli jest źle przeszkolony), ale też jest pierwszym ogniwem w organizacji, który ma bezpośredni dostęp do danych. Świadomy pracownik może okazać się zatem pierwszą zaporą przed nieuprawnionym dostępem do danych osobowych.
2. Okresowa analiza ryzyka.
RODO nie wprowadza listy środków bezpieczeństwa, których wdrożenie zapewnia bezpieczne i zgodne z prawem przetwarzanie danych. Dlatego niezbędne jest okresowe przeprowadzanie analizy ryzyka, która uwzględnia nowe elementy mające wpływ na poziom ryzyka dla praw i wolności podmiotów danych. Jeżeli wynik analizy wykaże, że ryzyko to jest wysokie, wówczas należy wykonać pogłębioną analizę – tzw. ocenę skutków dla ochrony danych. Jak wskazała Grupa Robocza Art. 29 w Wytycznych dot. oceny skutków dla ochrony danych – przeprowadzenie tej oceny jest procesem ciągłym, a nie jednorazowym, o czym organizacja powinna pamiętać.
3. Privacy by design.
Ochrona prywatności w fazie projektowania systemów, aplikacji, procedur, metod badań oznacza, że środki bezpieczeństwa danych osobowych powinny być uwzględniane już od samego początku tworzenia rozwiązania, a nie dostosowane do gotowego już „produktu”. Efekty projektowania prywatności powinny rozciągać się na cały okres przetwarzania danych. Mając na uwadze, że procedura privacy by desing dotyczy również modyfikacji dotychczasowych rozwiązań – jest to kolejny element ochrony danych osobowych w organizacji, który potwierdza, że proces utrzymania zgodności z RODO jest procesem ciągłym i nie jest wystarczające przeprowadzenie tej operacji jednorazowo.
Jeżeli są Państwo zainteresowani sprawdzeniem, czy utrzymujecie zgodność z RODO – zapraszamy do wypełnienia ankiety.
Z tej samej kategorii
Kategorie
