iSecure logo
Blog

Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

Bartosz Migas
Zanim znajdziemy wykonawcę aplikacji
Kategorie

Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe zagadnienie musi być rozpatrywane w ramach pewnej całości, ale niestety praktyka w tym zakresie nie rozpieszcza i nierzadko trzeba zderzyć się wdrożeniowym cherry-pickingiem, czyli wybieraniem sobie przez administratora obszarów gdzie chce wdrożyć RODO (np. w zakresie strony internetowej i polityki prywatności skierowanej na realizację praw podmiotów, których dane dotyczą) przy jednoczesnym ignorowaniu innych obszarów związanych z danymi osobowymi (np. retencji danych czy projektowania procesów z domyślnym uwzględnieniem ochrony danych osobowych). Ostatecznie wybiórcze spojrzenie na wdrożenie RODO powoduje, że tego wdrożenia po prostu nigdy nie będzie, bo ochrona danych osobowych w działaniu organizacji przypomina pod tym względem puzzle, gdzie jeden brakujący element powoduje, że cała układanka jest niekompletna.

W przypadku wybiórczego i nie skoordynowanego wdrażania RODO może dojść do sytuacji, w której np. jeden dział spółki zbiera prawidłowo zgody na przetwarzanie danych w celach marketingu elektronicznego, bo został przeszkolony i wyposażony w prawidłowe procedury, a następnie te dane są nieprawidłowo wykorzystywane przez inny dział organizacji (np. następuje profilowanie lub udostępnianie danych bez wiedzy osób, których dane dotyczą), co powoduje, że w efekcie cały proces nie jest zgodny z RODO. Może być też tak, że dwa lub więcej działy organizacji posługują się np. zupełnie odmiennymi klauzulami informacyjnymi czy wzorami umów powierzenia, przez co dochodzi do chaosu w rejestrach umów pisemnych i utrudnia lub uniemożliwia audyt i kontrolę nad procesorami. Utrzymywanie takiej sytuacji prowadzi do frustracji zarówno osoby pełniącej funkcję Inspektora Ochrony Danych jak i ze strony personelu organizacji, co prowadzi do zniechęcenia przestrzegania zasad ochrony danych i obniża jej standard.

Jak przeciwdziałać temu zjawisku? Przede wszystkim jasno komunikować administratorom danych charakter ich obowiązków wynikających z RODO i potrzebę ciągłego dbania o utrzymanie zgodności z obowiązującym prawem, Po drugie istotne jest, aby do pełnienia funkcji IOD powołać osobę, która posiada doświadczenie pozwalające na kompleksowe zarządzanie wdrożeniem i utrzymaniem zgodności z RODO. Po trzecie należy rozpocząć proces od rzetelnego i dogłębnego audytu. który ujawni wszelkie obszary przetwarzania danych, które należy następnie w sposób skoordynowany dostosowywać do obowiązujących przepisów.

Brak kompleksowego spojrzenia na wdrożenie ma zawsze jeden i ten sam skutek. Prędzej czy później organizacja, w której panuje chaos w obszarze ochrony danych osobowych, potknie się o własne nogi i boleśnie wyłoży narażając się na dotkliwe kary. Pytanie nie brzmi czy, tylko kiedy.

Pobierz wpis w wersji pdf

Podobne wpisy:

Agnieszka Rapcewicz

RODO w HR – jak zapewnić rozliczalność?

Dział HR to miejsce w organizacji, w którym niezależnie od profilu działalności firmy przetwarzany jest szeroki zakres danych osobowych. Zapewnienie zgodności z RODO i innymi przepisami dotyczącymi ochrony danych osobowych w dużej mierze spoczywa więc właśnie na tej jednostce organizacyjnej firmy. Jak wynika z naszego doświadczenia, mimo że dział HR posiada zazwyczaj największą świadomość w […]

Kurs ochrony danych osobowych przez e-mail
Olga Skotnicka

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

O przechowywaniu danych w chmurze…
Katarzyna Ułasiuk

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki