RODO – wdrożyłeś czy przypudrowałeś?
Jakie błędy najczęściej popełniają przedsiębiorcy i które niedociągnięcia mogą narazić ich na odpowiedzialność przed organem nadzorczym?
Pod koniec ubiegłego roku dużo mówiło się o porażających statystykach, zgodnie z którymi aż połowa polskich organizacji przyznaje, że nie poradziła sobie z dostosowaniem do RODO. Przy tak przytłaczającej liczbie tych, którzy ponieśli porażkę przy wdrażaniu nowych przepisów unijnych lub w ogóle nie podjęli działań mających zapewnić im zgodność z Rozporządzeniem, mało kto poświęca uwagę drugiej połowie, która – rzekomo – sprostała temu wyzwaniu i wdrożyła rozwiązania przez RODO ustanowione. Właśnie… wdrożyła czy tylko przypudrowała?
(Zbyt) duża dowolność w wyborze zabezpieczeń
Proaktywne podejście wynikające przede wszystkim z art. 32 RODO pozwala firmom dobierać rozwiązania mające chronić wszystkie przetwarzane przez nią informacje w oparciu o prawidłowo przeprowadzoną analizę ryzyka. - Pomyłek w doborze zabezpieczeń upatrywać należy przede wszystkim w nieprawidłowym podejściu do analizy ryzyka i nieskupieniu się na jej najważniejszych elementach – a błędnie wykonana najprawdopodobniej doprowadzi do niepoprawnego zidentyfikowania zagrożenia względem danego zasobu i w konsekwencji do złego dostosowania zabezpieczenia danych – mówi Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24.
Normą stało się, niestety, stosowanie prowizorycznych narzędzi do przeprowadzania analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu potencjalnego ryzyka w nim występującego i przez to jego nieuwzględnienie, a w końcu modelowanie analizy ryzyka w sposób dla administratora wygodny i niewymagający zbyt wielu działań czy nakładów pieniężnych.
Dostosowanie obszaru IT…
…nie ogranicza się jedynie do samego oszacowania ryzyka. Zgodnie z art. 32 RODO w oparciu o ustalenia poczynione w wyniku analizy ryzyka organizacje przetwarzające dane osobowe zobowiązane są wdrożyć „odpowiednie” środki techniczne i organizacyjne. -Zdecydowanie najwięcej wątpliwości w tym zakresie może wzbudzić punkt dotyczący konieczności zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Nawet dogłębne zapoznanie się z przepisami, poradnikami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych czy Wytycznymi Grupy Roboczej art. 29 nie daje jednoznacznej odpowiedzi na pytanie, jakie środki techniczne i organizacyjne będą w tym aspekcie wystarczające – zaznacza Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
-Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji – wskazuje Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24. Niestety na „biurokracji” skończyć nie możemy. Kolejnym niezmiernie ważnym oraz niezwykle trudnym do wykonania elementem jest dostosowanie infrastruktury pod kątem możliwości realizacji praw osób, których dane dotyczą – dodaje Damian Gąska.
Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych i nie dostrzega potrzeby uregulowania swojego stosunku wobec podmiotu przetwarzającego. Inni z kolei masowo zawierają umowy powierzenia ze wszystkimi zidentyfikowanymi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły tego stosunku licząc, że na wypadek kontroli organu nadzorczego docenione zostanie ich, nawet błędne, podejście.
Warto zwrócić uwagę, że istnienie stosunku powierzenia determinuje stan faktyczny, a nie zawarcie przez strony umowy powierzenia. Nie ma ona bowiem charakteru konstytutywnego – sam fakt jej zawarcia nie tworzy stosunku powierzenia - a deklaratoryjny, czyli potwierdzający już istniejącą relację na linii administrator danych – procesor – mówi Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
Ponadto istotna jest weryfikacja podmiotu zewnętrznego pod kątem spełniania przez niego wymogów wyrażonych w RODO. Jako administrator firma ma obowiązek upewnić się, czy procesor zapewnia odpowiedni poziom wdrożenia środków technicznych i organizacyjnych gwarantujących zgodność przetwarzania danych z przepisami RODO, w praktyce jednak niewiele organizacji jest w stanie wykazać, iż przed powierzeniem danych dokładnie sprawdzili swojego podwykonawcę.
Zobacz podobne artykuły:
Ile wie o nas Internet? Według raportu „Digital 2021” firm We Are Social i Hootsuite, z Internetu w Polsce korzysta 31,97 mln ludzi, a portali społecznościowych używa aż 25,9 mln osób. Takie liczby robią wrażenie, ale też zmuszają do zastanowienia. Korzystając z Internetu niejednokrotnie pozostawiamy po sobie ślad, poprzez udostępnienie naszych danych. Przy odpowiednim wysiłku i wiedzy można powiązać pozostawioną w Internecie treść z wybraną osobą. Zazwyczaj, to my sami decydujemy o upublicznieniu prywatnych danych w sieci, ale informacje nas dotyczące mogą być też łatwo dostępne niezależnie od naszej woli. Czy można je odnaleźć i wykorzystać w niekorzystny dla nas sposób? Ile wie o nas Internet?
3 lata z RODO – czy nasze dane osobowe są już bezpieczne? Po blisko trzech latach stosowania RODO aż 93% Polaków potwierdza, że ich pracodawca dba o kwestie ochrony danych osobowych. Warto również wiedzieć, że aż 43% osób pracujących deklaruje, że każda zatrudniona osoba w firmie jest informowana o procedurach i odbywa szkolenie. Czy według polskich pracowników, unijne rozporządzenie zwiększyło dbałość pracodawców o ochronę danych osobowych? Co jeszcze się zmieniło po wprowadzeniu nowych przepisów?
Wirtualna ochrona danych w aplikacji mObywatel. Jak nowe dowody dbają o nasze bezpieczeństwo? Jeszcze w tym roku aż 1 mln 546 tys. Polaków wymieni swój dowód osobisty na nowy – wynika z informacji podanych przez Kancelarię Prezesa Rady Ministrów. Nowe dokumenty tożsamości to efekt wejścia w życie unijnego rozporządzenia, które nakazuje wdrożenie najwyższych norm zabezpieczeń do tego typu dokumentów. Oznacza to, że po dacie 2 sierpnia 2021 roku każdy, komu skończy się ważność dowodu osobistego, jest zobligowany do jego wymiany na nowy. Czy jednak nowe dowody są bezpieczniejsze? Czy rządowa aplikacja mObywatel ochroni nas przed kradzieżą danych osobowych?
Pracownicy a znajomość ochrony danych osobowych Istotnym warunkiem prawidłowego przetwarzania danych osobowych jest odpowiedni poziom wiedzy i świadomości osób, które tego dokonują. Administrator danych osobowych nie tylko decyduje o tym, kto będzie przetwarzał, gromadzone przez niego, dane, ale również ma obowiązek zapewnienia, że osoby te zapoznają się z przepisami.
PPK a ochrona danych osobowych. Co mogą pracodawcy? Pracownicze Plany Kapitałowe są nowością dla polskich przedsiębiorców, a ich wdrożenie wymaga udostępniania danych pracowników podmiotom zewnętrznym. Przepisy te rodzą wiele wątpliwości wśród firm, co do legalności przetwarzania i przekazywania informacji, podstaw prawnych czy okresów przechowywania dokumentacji.
Kopiowanie dowodów osobistych w firmach – co naprawdę zmienia nowe prawo? Prawie każdy z nas spotkał się z kserowaniem i skanowaniem dowodów tożsamości oraz innych dokumentów, na których widniały dane osobowe. Praktykowali je zarówno pracodawcy, jak i wypożyczalnie sprzętu sportowego oraz hotele.
Kontrola UODO? Proszę bardzo Prezes Urzędu Ochrony Danych Osobowych ma prawo przeprowadzić kontrolę administratora danych osobowych, aby zweryfikować, czy dochodzi do naruszenia przepisów z tego zakresu.
„Twardy brexit” z punktu widzenia danych osobowych W sytuacji, gdy Wielka Brytania postawi na tzw. twardy brexit, czyli formę bezumowną stanie się „państwem trzecim” w rozumieniu ogólnego rozporządzenia o ochronie danych. Czy taki scenariusz zagraża przedsiębiorcom, którzy w ramach współpracy przekazują dane na Wyspy?
Informacje z regionów
-
KIG - Projekt "Akademia GOZ"
23.04.2024 -
PUP Sulęcin - Spotkanie informacyjne
23.04.2024