iSecure logo
Blog

Jak „podejść” do przetwarzania danych osobowych w swojej organizacji?

Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych osobowych w naszej organizacji? Na co należy zwrócić szczególną uwagę?

1. Po pierwsze – identyfikacja procesów przetwarzania.

Aby właściwie przejść przez kolejne stadia wtajemniczenia w temat, jakim jest ochrona danych osobowych, należy w pierwszej kolejności zastanowić się nad tym, czym przetwarzanie danych osobowych jest. Zgodnie z ogólną definicją zawartą w słowniczku z art. 4 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Projektując, czy też analizując procesy przetwarzania danych osobowych już istniejące w naszej organizacji, należy mieć nie tyle świadomość, ale również wiedzę na temat tego, co wynika z ww. definicji. Często podczas pracy audytowej spotykam się z nieznajomością czy też błędnym przekonaniem co rozumiemy za przetwarzanie danych osobowych. Managerowie, osoby odpowiedzialne za procesy kadrowe nierzadko mają mgliste albo zaburzone pojęcie co do operacji przetwarzania – „Ja nie przetwarzam danych osobowych, tylko gromadzę CV…”; „Cóż… Zapisuję numer telefonu i nazwisko jak ktoś do mnie dzwoni w Excelu, ale nie tworzę żadnej bazy, ja nie przetwarzam danych osobowych…”. Jeżeli właściwie nie dokonamy identyfikacji procesów, nie stworzymy właściwej ścieżki postępowania, nie przygotujemy jednego z szeregu dokumentów wymaganych przez RODO – chociażby rejestru czynności przetwarzania czy też rejestru kategorii, a co najważniejsze nie zidentyfikujemy ryzyk jakie mogą wiązać się z naszą działalnością w obszarze przetwarzania danych osobowych.

2. Przywiązujemy zbyt dużą uwagę do dokumentacji, zapominając, że dokumentacja nigdy się nie kończy;

Zapominamy, że ochrona danych osobowych jest procesem ciągłym a nie jednorazowym (wynika to chociażby z art. 32 ust. 1 lit. d) RODO – regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.). Po wnikliwej analizie przepisów rozporządzenia, wyjaśnień zawartych w preambule, należy zwrócić uwagę, iż cały proces przetwarzania danych osobowych musi być oparty na ryzyku z nim związanym. Ryzyko musi być sukcesywnie mierzone a stosowane procesy modyfikowane tak, aby za ryzykiem nadążały. Wielokrotnie można spotkać się z podejściem projektowym, zaczerpniętym zapewne z metodologii PRINCE, w którym to 7 ostatnim krokiem jest zamknięcie projektu, który zazwyczaj kończy się na podjęciu uchwały zarządu o wdrożeniu Polityki Ochrony Danych Osobowych (PODO) wraz z załącznikami. W przypadku procesu ochrony danych osobowych ta metodyka w dłuższym rozrachunku nie będzie prawidłowa. Ochrona danych osobowych nie kończy się na wdrożeniu odpowiednich rozwiązań organizacyjnych w postaci PODO – jest to proces ciągły, który po wprowadzeniu polityk dopiero się zaczyna, jest to PRINCE bez siódmego, ostatniego etapu – zamknięcia projektu. Bezwzględnie należy od tym pamiętać.

3. Nie poszerzamy wiedzy naszej ani naszych pracowników

Aby ochrona danych osobowych w naszej organizacji nie była tylko zbiorem polityk, których nikt oprócz radcy prawnego, inspektora ochrony danych (o ile został powołany) czy też zarządu nie przeczytał, należy w sposób zorganizowany i ciągły podnosić świadomość naszych pracowników w tym obszarze. Nie wystarczy raz przeszkolić pracownika, odebrać jego podpis na liście szkoleniowej żeby sprostać zasadzie rozliczalności. RODO nakłada na nas obowiązek ciągłego poszerzania naszej wiedzy w tym zakresie, tak aby brak świadomości nie przyczynił się do obniżenia bezpieczeństwa danych osobowych przez nas administrowanych czy też powierzonych do przetwarzania – należy pamiętać, że czynniki ludzki jest najsłabszym ogniwem.

Podobne wpisy:

Audyt RODO – czy rzeczywiście jest potrzebny i w jaki sposób go przeprowadzić?

Gdy rozmawiam z potencjalnymi klientami, często od nich słyszę, że nie chcą żadnych audytów tylko chcą być zgodni z RODO. Rzeczywiście istnieją w naszej branży podmioty, które oferują gotowe „pakiety” zgodności z RODO w postaci wzorów dokumentacji, klauzul i ogólnych zaleceń. Warto jednak zadać sobie wówczas pytanie czy otrzymując taki pakiet będziecie wiedzieli co z […]

Rozliczenie roczne PIT – jak uniknąć naruszenia ochrony danych osobowych?

W Polsce roczne rozliczenia podatkowe, czyli PIT (Podatek dochodowy od osób fizycznych), przygotowuje się zazwyczaj po zakończeniu roku podatkowego, który w Polsce pokrywa się z rokiem kalendarzowym, czyli od 1 stycznia do 31 grudnia. Zgodnie z obowiązującymi przepisami, podatnicy mają obowiązek złożyć deklarację podatkową za poprzedni rok podatkowy do końca kwietnia roku następnego. Oznacza to, […]

Branża hotelarska – istotne aspekty zgodności z przepisami RODO

Ogólne Rozporządzenie o Ochronie Danych (RODO) wprowadziło szereg obowiązków dla przedsiębiorstw, w tym dla branży hotelarskiej, której działalność opiera się na gromadzeniu, przetwarzaniu i przechowywaniu danych osobowych klientów. Zrozumienie i stosowanie się do tych zasad jest niezbędne, aby zapewnić zgodność z prawem oraz ochronę prywatności gości. W niniejszym artykule postaramy się omówić najważniejsze obowiązki wynikające […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki