Powrót

RODO – wdrożyłeś czy przypudrowałeś?

Jakie błędy najczęściej popełniają przedsiębiorcy i które niedociągnięcia mogą narazić ich na odpowiedzialność przed organem nadzorczym?

Pod koniec ubiegłego roku dużo mówiło się o porażających statystykach, zgodnie z którymi aż połowa polskich organizacji przyznaje, że nie poradziła sobie z dostosowaniem do RODO. Przy tak przytłaczającej liczbie tych, którzy ponieśli porażkę przy wdrażaniu nowych przepisów unijnych lub w ogóle nie podjęli działań mających zapewnić im zgodność z Rozporządzeniem, mało kto poświęca uwagę drugiej połowie, która – rzekomo – sprostała temu wyzwaniu i wdrożyła rozwiązania przez RODO ustanowione. Właśnie… wdrożyła czy tylko przypudrowała?

 

(Zbyt) duża dowolność w wyborze zabezpieczeń

 

Proaktywne podejście wynikające przede wszystkim z art. 32 RODO pozwala firmom dobierać rozwiązania mające chronić wszystkie przetwarzane przez nią informacje w oparciu o prawidłowo przeprowadzoną analizę ryzyka. - Pomyłek w doborze zabezpieczeń upatrywać należy przede wszystkim w nieprawidłowym podejściu do analizy ryzyka i nieskupieniu się na jej najważniejszych elementach – a błędnie wykonana najprawdopodobniej doprowadzi do niepoprawnego zidentyfikowania zagrożenia względem danego zasobu i w konsekwencji do złego dostosowania zabezpieczenia danych – mówi Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24.

Normą stało się, niestety, stosowanie prowizorycznych narzędzi do przeprowadzania analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu potencjalnego ryzyka w nim występującego i przez to jego nieuwzględnienie, a w końcu modelowanie analizy ryzyka w sposób dla administratora wygodny i niewymagający zbyt wielu działań czy nakładów pieniężnych.

 

Dostosowanie obszaru IT…

 

…nie ogranicza się jedynie do samego oszacowania ryzyka. Zgodnie z art. 32 RODO w oparciu o ustalenia poczynione w wyniku analizy ryzyka organizacje przetwarzające dane osobowe zobowiązane są wdrożyć „odpowiednie” środki techniczne i organizacyjne. -Zdecydowanie najwięcej wątpliwości w tym zakresie może wzbudzić punkt dotyczący konieczności zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Nawet dogłębne zapoznanie się z przepisami, poradnikami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych czy Wytycznymi Grupy Roboczej art. 29 nie daje jednoznacznej odpowiedzi na pytanie, jakie środki techniczne i organizacyjne będą w tym aspekcie wystarczające – zaznacza Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.

-Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji – wskazuje Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24. Niestety na „biurokracji” skończyć nie możemy. Kolejnym niezmiernie ważnym oraz niezwykle trudnym do wykonania elementem jest dostosowanie infrastruktury pod kątem możliwości realizacji praw osób, których dane dotyczą – dodaje Damian Gąska.

Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych i nie dostrzega potrzeby uregulowania swojego stosunku wobec podmiotu przetwarzającego. Inni z kolei masowo zawierają umowy powierzenia ze wszystkimi zidentyfikowanymi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły tego stosunku licząc, że na wypadek kontroli organu nadzorczego docenione zostanie ich, nawet błędne, podejście.

Warto zwrócić uwagę, że istnienie stosunku powierzenia determinuje stan faktyczny, a nie zawarcie przez strony umowy powierzenia. Nie ma ona bowiem charakteru konstytutywnego – sam fakt jej zawarcia nie tworzy stosunku powierzenia - a deklaratoryjny, czyli potwierdzający już istniejącą relację na linii administrator danych – procesor  – mówi Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.

Ponadto istotna jest weryfikacja podmiotu zewnętrznego pod kątem spełniania przez niego wymogów wyrażonych w RODO. Jako administrator firma ma obowiązek upewnić się, czy procesor zapewnia odpowiedni poziom wdrożenia środków technicznych i organizacyjnych gwarantujących zgodność przetwarzania danych z przepisami RODO, w praktyce jednak niewiele organizacji jest w stanie wykazać, iż przed powierzeniem danych dokładnie sprawdzili swojego podwykonawcę.

ODO 24 sp. z o. o.


Zobacz podobne artykuły:

  • Kontrola UODO? Proszę bardzo
    Prezes Urzędu Ochrony Danych Osobowych ma prawo przeprowadzić kontrolę administratora danych osobowych, aby zweryfikować, czy dochodzi do naruszenia przepisów z tego zakresu.

  • „Twardy brexit” z punktu widzenia danych osobowych
    W sytuacji, gdy Wielka Brytania postawi na tzw. twardy brexit, czyli formę bezumowną stanie się „państwem trzecim” w rozumieniu ogólnego rozporządzenia o ochronie danych. Czy taki scenariusz zagraża przedsiębiorcom, którzy w ramach współpracy przekazują dane na Wyspy?

  • 3 mity na temat pozyskiwania danych osobowych w procesie rekrutacji
    Czy rekruter ma prawo wymagać od kandydata podania oczekiwań finansowych? W jakiej formie kandydat powinien wyrazić zgodę? Czy pracodawca powinien zrealizować wszystkie żądania kandydata, np. związane z usunięciem danych?

  • Retencja danych pracowników
    Prowadzenie biznesu wiąże się z przechowywaniem wielu dokumentów, w tym tych zawierających dane osobowe. W I kwartale 2018 roku liczba pracujących wynosiła 16 344 tys. – wynika z danych Głównego Urzędu Statystycznego. RODO wskazuje, że wszelkie przetwarzane przez organizacje informacje na ich temat powinny być przechowywane nie dłużej niż wynika to z celu ich pozyskiwania (Art. 5 ust. 1e). Jak te zapisy mają się jednak do procesu retencji danych, określanego jako obowiązek „zatrzymywania” danych, a następnie – w wielu przypadkach – bezterminowego przechowywania ich w bazach?

  • RODO: Kandydaci z nowymi prawami
    Osoby biorące udział w rekrutacjach mogą liczyć na lepszą niż dotychczas ochronę danych osobowych. 25 maja aplikujący zyskali realny wpływ na to, jak długo pracodawcy będą przetwarzać ich dane osobowe oraz w jakim zakresie.

  • RODO w pracy
    25 maja wejdą w życie przepisy dotyczące przetwarzania danych osobowych, które będą miały wpływ także na zmiany w Kodeksie pracy.

  • Pracodawcy muszą przygotować się na nadejście RODO – inaczej czekają ich surowe kary!
    Od 25 maja przetwarzanie danych osobowych w firmach przejdzie prawdziwą rewolucję. Pojawią się nowe obowiązki, które dotkną zarówno agencje zatrudnienia jak i pracodawców. Każde uchybienie może słono kosztować, bo kary sięgają nawet 20 mln euro. Dlatego już dziś warto się przygotować!

  • Potrzebujesz dostępu do starszych informacji? Skorzystaj z naszego Archiwum wiadomości.
    Uwaga! Wszystkie treści i materiały zamieszczane na portalu www.zielonalinia.gov.pl, opracowywane przez grupę redakcyjną, mają charakter informacyjny. Redakcja portalu dokłada wszelkich starań, aby informacje w nim zawarte były rzetelne i wiarygodne. Nie stanowią one wiążącej interpretacji przepisów prawnych.