iSecure logo
Blog

Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

Zanim znajdziemy wykonawcę aplikacji
Kategorie

Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe zagadnienie musi być rozpatrywane w ramach pewnej całości, ale niestety praktyka w tym zakresie nie rozpieszcza i nierzadko trzeba zderzyć się wdrożeniowym cherry-pickingiem, czyli wybieraniem sobie przez administratora obszarów gdzie chce wdrożyć RODO (np. w zakresie strony internetowej i polityki prywatności skierowanej na realizację praw podmiotów, których dane dotyczą) przy jednoczesnym ignorowaniu innych obszarów związanych z danymi osobowymi (np. retencji danych czy projektowania procesów z domyślnym uwzględnieniem ochrony danych osobowych). Ostatecznie wybiórcze spojrzenie na wdrożenie RODO powoduje, że tego wdrożenia po prostu nigdy nie będzie, bo ochrona danych osobowych w działaniu organizacji przypomina pod tym względem puzzle, gdzie jeden brakujący element powoduje, że cała układanka jest niekompletna.

W przypadku wybiórczego i nie skoordynowanego wdrażania RODO może dojść do sytuacji, w której np. jeden dział spółki zbiera prawidłowo zgody na przetwarzanie danych w celach marketingu elektronicznego, bo został przeszkolony i wyposażony w prawidłowe procedury, a następnie te dane są nieprawidłowo wykorzystywane przez inny dział organizacji (np. następuje profilowanie lub udostępnianie danych bez wiedzy osób, których dane dotyczą), co powoduje, że w efekcie cały proces nie jest zgodny z RODO. Może być też tak, że dwa lub więcej działy organizacji posługują się np. zupełnie odmiennymi klauzulami informacyjnymi czy wzorami umów powierzenia, przez co dochodzi do chaosu w rejestrach umów pisemnych i utrudnia lub uniemożliwia audyt i kontrolę nad procesorami. Utrzymywanie takiej sytuacji prowadzi do frustracji zarówno osoby pełniącej funkcję Inspektora Ochrony Danych jak i ze strony personelu organizacji, co prowadzi do zniechęcenia przestrzegania zasad ochrony danych i obniża jej standard.

Jak przeciwdziałać temu zjawisku? Przede wszystkim jasno komunikować administratorom danych charakter ich obowiązków wynikających z RODO i potrzebę ciągłego dbania o utrzymanie zgodności z obowiązującym prawem, Po drugie istotne jest, aby do pełnienia funkcji IOD powołać osobę, która posiada doświadczenie pozwalające na kompleksowe zarządzanie wdrożeniem i utrzymaniem zgodności z RODO. Po trzecie należy rozpocząć proces od rzetelnego i dogłębnego audytu. który ujawni wszelkie obszary przetwarzania danych, które należy następnie w sposób skoordynowany dostosowywać do obowiązujących przepisów.

Brak kompleksowego spojrzenia na wdrożenie ma zawsze jeden i ten sam skutek. Prędzej czy później organizacja, w której panuje chaos w obszarze ochrony danych osobowych, potknie się o własne nogi i boleśnie wyłoży narażając się na dotkliwe kary. Pytanie nie brzmi czy, tylko kiedy.

Pobierz wpis w wersji pdf

Podobne wpisy:

SKRZYNKA BYŁEGO PRACOWNIKA A RODO

Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że […]

Wysyłanie PIT-a drogą mailową

Wstęp Niniejszy artykuł ma na celu rozwiać wątpliwości dotyczące kwestii wysyłania PIT-a drogą elektroniczną. Należy tutaj zaznaczyć, iż nie dotyczy to tylko kwestii poczty elektronicznej ale również ogólnodostępnych narzędzi, które między innymi służą do udostępniania konkretnych plików / dokumentów konkretnemu gronu odbiorców. Nie można tutaj oczywiście mówić tylko o kwestii konkretnego dokumentu jakim jest PIT, […]

Wymiana doświadczenia

Pośrednictwo, leady i RODO, czyli jak to możliwe, że procesor jest jednocześnie administratorem?

W celu maksymalizacji zysków, a także zapewnienia wysokiej jakości usług, outsourcing jest coraz częstszym zjawiskiem w świecie biznesu. Gdy słyszymy “outsourcing usług” najczęściej przychodzą nam do głowy usługi prawne lub księgowe. Nie możemy jednak zapominać, że coraz częstszą formą outsourcingu jest szeroko pojęte pośrednictwo. Jedną z najpopularniejszych form pośrednictwa jest poszukiwanie klientów, zwanych przez biznes […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki