iSecure logo
Blog

Jak „podejść” do przetwarzania danych osobowych w swojej organizacji?

Michał Komarnicki

Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych osobowych w naszej organizacji? Na co należy zwrócić szczególną uwagę?

1. Po pierwsze – identyfikacja procesów przetwarzania.

Aby właściwie przejść przez kolejne stadia wtajemniczenia w temat, jakim jest ochrona danych osobowych, należy w pierwszej kolejności zastanowić się nad tym, czym przetwarzanie danych osobowych jest. Zgodnie z ogólną definicją zawartą w słowniczku z art. 4 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Projektując, czy też analizując procesy przetwarzania danych osobowych już istniejące w naszej organizacji, należy mieć nie tyle świadomość, ale również wiedzę na temat tego, co wynika z ww. definicji. Często podczas pracy audytowej spotykam się z nieznajomością czy też błędnym przekonaniem co rozumiemy za przetwarzanie danych osobowych. Managerowie, osoby odpowiedzialne za procesy kadrowe nierzadko mają mgliste albo zaburzone pojęcie co do operacji przetwarzania – „Ja nie przetwarzam danych osobowych, tylko gromadzę CV…”; „Cóż… Zapisuję numer telefonu i nazwisko jak ktoś do mnie dzwoni w Excelu, ale nie tworzę żadnej bazy, ja nie przetwarzam danych osobowych…”. Jeżeli właściwie nie dokonamy identyfikacji procesów, nie stworzymy właściwej ścieżki postępowania, nie przygotujemy jednego z szeregu dokumentów wymaganych przez RODO – chociażby rejestru czynności przetwarzania czy też rejestru kategorii, a co najważniejsze nie zidentyfikujemy ryzyk jakie mogą wiązać się z naszą działalnością w obszarze przetwarzania danych osobowych.

2. Przywiązujemy zbyt dużą uwagę do dokumentacji, zapominając, że dokumentacja nigdy się nie kończy;

Zapominamy, że ochrona danych osobowych jest procesem ciągłym a nie jednorazowym (wynika to chociażby z art. 32 ust. 1 lit. d) RODO – regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.). Po wnikliwej analizie przepisów rozporządzenia, wyjaśnień zawartych w preambule, należy zwrócić uwagę, iż cały proces przetwarzania danych osobowych musi być oparty na ryzyku z nim związanym. Ryzyko musi być sukcesywnie mierzone a stosowane procesy modyfikowane tak, aby za ryzykiem nadążały. Wielokrotnie można spotkać się z podejściem projektowym, zaczerpniętym zapewne z metodologii PRINCE, w którym to 7 ostatnim krokiem jest zamknięcie projektu, który zazwyczaj kończy się na podjęciu uchwały zarządu o wdrożeniu Polityki Ochrony Danych Osobowych (PODO) wraz z załącznikami. W przypadku procesu ochrony danych osobowych ta metodyka w dłuższym rozrachunku nie będzie prawidłowa. Ochrona danych osobowych nie kończy się na wdrożeniu odpowiednich rozwiązań organizacyjnych w postaci PODO – jest to proces ciągły, który po wprowadzeniu polityk dopiero się zaczyna, jest to PRINCE bez siódmego, ostatniego etapu – zamknięcia projektu. Bezwzględnie należy od tym pamiętać.

3. Nie poszerzamy wiedzy naszej ani naszych pracowników

Aby ochrona danych osobowych w naszej organizacji nie była tylko zbiorem polityk, których nikt oprócz radcy prawnego, inspektora ochrony danych (o ile został powołany) czy też zarządu nie przeczytał, należy w sposób zorganizowany i ciągły podnosić świadomość naszych pracowników w tym obszarze. Nie wystarczy raz przeszkolić pracownika, odebrać jego podpis na liście szkoleniowej żeby sprostać zasadzie rozliczalności. RODO nakłada na nas obowiązek ciągłego poszerzania naszej wiedzy w tym zakresie, tak aby brak świadomości nie przyczynił się do obniżenia bezpieczeństwa danych osobowych przez nas administrowanych czy też powierzonych do przetwarzania – należy pamiętać, że czynniki ludzki jest najsłabszym ogniwem.

Podobne wpisy:

Zanim znajdziemy wykonawcę aplikacji
Bartosz Migas

Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe […]

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

Gdy nastąpił wyciek danych
Przemysław Siarka

Czy chronisz swoje dane w chmurze?

Ułatwienie pracy czy jedynie większe ryzyko otrzymania kary? Praca w środowisku chmurowym może zaoferować organizacjom wiele korzyści, jak również niesie ze sobą wiele niebezpieczeństw, np.: – możliwość przechwycenia kont pracowników, – nieuprawniony dostęp do danych znajdujących się w chmurze, – nieautoryzowane zmiany czy utrata plików, – inne naruszenia ochrony danych osobowych. Wprowadzając odpowiednie polityki oraz […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki