iSecure logo
  • pl
  • en
    • Blog

    Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

    Bartosz Migas
    Zanim znajdziemy wykonawcę aplikacji
    Kategorie

    Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe zagadnienie musi być rozpatrywane w ramach pewnej całości, ale niestety praktyka w tym zakresie nie rozpieszcza i nierzadko trzeba zderzyć się wdrożeniowym cherry-pickingiem, czyli wybieraniem sobie przez administratora obszarów gdzie chce wdrożyć RODO (np. w zakresie strony internetowej i polityki prywatności skierowanej na realizację praw podmiotów, których dane dotyczą) przy jednoczesnym ignorowaniu innych obszarów związanych z danymi osobowymi (np. retencji danych czy projektowania procesów z domyślnym uwzględnieniem ochrony danych osobowych). Ostatecznie wybiórcze spojrzenie na wdrożenie RODO powoduje, że tego wdrożenia po prostu nigdy nie będzie, bo ochrona danych osobowych w działaniu organizacji przypomina pod tym względem puzzle, gdzie jeden brakujący element powoduje, że cała układanka jest niekompletna.

    W przypadku wybiórczego i nie skoordynowanego wdrażania RODO może dojść do sytuacji, w której np. jeden dział spółki zbiera prawidłowo zgody na przetwarzanie danych w celach marketingu elektronicznego, bo został przeszkolony i wyposażony w prawidłowe procedury, a następnie te dane są nieprawidłowo wykorzystywane przez inny dział organizacji (np. następuje profilowanie lub udostępnianie danych bez wiedzy osób, których dane dotyczą), co powoduje, że w efekcie cały proces nie jest zgodny z RODO. Może być też tak, że dwa lub więcej działy organizacji posługują się np. zupełnie odmiennymi klauzulami informacyjnymi czy wzorami umów powierzenia, przez co dochodzi do chaosu w rejestrach umów pisemnych i utrudnia lub uniemożliwia audyt i kontrolę nad procesorami. Utrzymywanie takiej sytuacji prowadzi do frustracji zarówno osoby pełniącej funkcję Inspektora Ochrony Danych jak i ze strony personelu organizacji, co prowadzi do zniechęcenia przestrzegania zasad ochrony danych i obniża jej standard.

    Jak przeciwdziałać temu zjawisku? Przede wszystkim jasno komunikować administratorom danych charakter ich obowiązków wynikających z RODO i potrzebę ciągłego dbania o utrzymanie zgodności z obowiązującym prawem, Po drugie istotne jest, aby do pełnienia funkcji IOD powołać osobę, która posiada doświadczenie pozwalające na kompleksowe zarządzanie wdrożeniem i utrzymaniem zgodności z RODO. Po trzecie należy rozpocząć proces od rzetelnego i dogłębnego audytu. który ujawni wszelkie obszary przetwarzania danych, które należy następnie w sposób skoordynowany dostosowywać do obowiązujących przepisów.

    Brak kompleksowego spojrzenia na wdrożenie ma zawsze jeden i ten sam skutek. Prędzej czy później organizacja, w której panuje chaos w obszarze ochrony danych osobowych, potknie się o własne nogi i boleśnie wyłoży narażając się na dotkliwe kary. Pytanie nie brzmi czy, tylko kiedy.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Agnieszka Dominiak

    Retencja w rekrutacji, czyli o usuwaniu danych kandydatów do pracy

    W grudniowym wpisie Katarzyna Ułasiuk-Delamare opracowała obszerne podsumowanie zagadnień związanych z ochroną danych osobowych w procesach rekrutacyjnych. Dzisiaj rozszerzę wątek, któremu poświęcony został ostatni akapit tego opracowania, mianowicie: usuwanie danych osobowych w procesach rekrutacyjnych. Obowiązek ograniczonego przetwarzania danych osobowych wynika wprost z przepisów RODO, tj. artykułu 5 oraz motywu 39, których fragmenty brzmią jak poniżej: […]

    Czytaj więcej
    Maria Lothamer

    Czy powinienem wyznaczyć Inspektora Ochrony Danych?

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
    Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

    Czytaj więcej
    Michał Sztąberek

    Co powinna zawierać procedura wykonywania kopii zapasowych?

    Procedura wykonywania kopii zapasowych (backupów) jest jednym z istotniejszych elementów budowania systemu ochrony danych osobowych, ale też zapewnienia ciągłości działania w kontekście szerszym, bo dotyczącym wszystkich istotnych dla organizacji informacji. Kiedy taka procedura może się przydać (przy założeniu, że została wdrożona i jest stosowana)? Na pewno w przypadku awarii systemu informatycznego, ale też w sytuacji […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki