iSecure logo
Blog

Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

Zanim znajdziemy wykonawcę aplikacji
Kategorie

Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe zagadnienie musi być rozpatrywane w ramach pewnej całości, ale niestety praktyka w tym zakresie nie rozpieszcza i nierzadko trzeba zderzyć się wdrożeniowym cherry-pickingiem, czyli wybieraniem sobie przez administratora obszarów gdzie chce wdrożyć RODO (np. w zakresie strony internetowej i polityki prywatności skierowanej na realizację praw podmiotów, których dane dotyczą) przy jednoczesnym ignorowaniu innych obszarów związanych z danymi osobowymi (np. retencji danych czy projektowania procesów z domyślnym uwzględnieniem ochrony danych osobowych). Ostatecznie wybiórcze spojrzenie na wdrożenie RODO powoduje, że tego wdrożenia po prostu nigdy nie będzie, bo ochrona danych osobowych w działaniu organizacji przypomina pod tym względem puzzle, gdzie jeden brakujący element powoduje, że cała układanka jest niekompletna.

W przypadku wybiórczego i nie skoordynowanego wdrażania RODO może dojść do sytuacji, w której np. jeden dział spółki zbiera prawidłowo zgody na przetwarzanie danych w celach marketingu elektronicznego, bo został przeszkolony i wyposażony w prawidłowe procedury, a następnie te dane są nieprawidłowo wykorzystywane przez inny dział organizacji (np. następuje profilowanie lub udostępnianie danych bez wiedzy osób, których dane dotyczą), co powoduje, że w efekcie cały proces nie jest zgodny z RODO. Może być też tak, że dwa lub więcej działy organizacji posługują się np. zupełnie odmiennymi klauzulami informacyjnymi czy wzorami umów powierzenia, przez co dochodzi do chaosu w rejestrach umów pisemnych i utrudnia lub uniemożliwia audyt i kontrolę nad procesorami. Utrzymywanie takiej sytuacji prowadzi do frustracji zarówno osoby pełniącej funkcję Inspektora Ochrony Danych jak i ze strony personelu organizacji, co prowadzi do zniechęcenia przestrzegania zasad ochrony danych i obniża jej standard.

Jak przeciwdziałać temu zjawisku? Przede wszystkim jasno komunikować administratorom danych charakter ich obowiązków wynikających z RODO i potrzebę ciągłego dbania o utrzymanie zgodności z obowiązującym prawem, Po drugie istotne jest, aby do pełnienia funkcji IOD powołać osobę, która posiada doświadczenie pozwalające na kompleksowe zarządzanie wdrożeniem i utrzymaniem zgodności z RODO. Po trzecie należy rozpocząć proces od rzetelnego i dogłębnego audytu. który ujawni wszelkie obszary przetwarzania danych, które należy następnie w sposób skoordynowany dostosowywać do obowiązujących przepisów.

Brak kompleksowego spojrzenia na wdrożenie ma zawsze jeden i ten sam skutek. Prędzej czy później organizacja, w której panuje chaos w obszarze ochrony danych osobowych, potknie się o własne nogi i boleśnie wyłoży narażając się na dotkliwe kary. Pytanie nie brzmi czy, tylko kiedy.

Pobierz wpis w wersji pdf

Podobne wpisy:

Badanie pracowników na obecność koronawirusa zgodne z RODO – COVID-19

Pandemia COVID-19 nie odpuszcza, dlatego też wielu pracodawców, chcąc chronić życie i zdrowie swoich pracowników, decyduje się na zorganizowanie badań pod kątem zakażenia koronawirusem.  Czy pracodawca może zobowiązać pracownika do udziału w takich badaniach? Czy może pozyskać wyniki po badaniu? Poniższa infografika odpowiada na te i inne pytania, które pomogą pracodawcom w bieżącej działalności. Zwłaszcza […]

10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji. Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów […]

Profilowanie klientów – nowe plany zarobkowe Alior Banku

Powierzenie po duńsku, czyli jak przy pomocy klocków w art. 28 ust. 3 stworzyć umowę powierzenia?

Od czasu wejścia w życie RODO minęło już ponad dwa lata. 25 maja 2018 roku umowa powierzenia była niemalże całkowicie nieznana biznesowi, a idea zawierania umowy w przypadkach przetwarzania danych osobowych w imieniu zlecającego dopiero nabierała na znaczeniu – mimo, że samo umowne powierzanie danych osobowych było obowiązkiem jeszcze przed obowiązywaniem stosowania RODO (na podstawie ustawy […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki