Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych osobowych w naszej organizacji? Na co należy zwrócić szczególną uwagę?
1. Po pierwsze – identyfikacja procesów przetwarzania.
Aby właściwie przejść przez kolejne stadia wtajemniczenia w temat, jakim jest ochrona danych osobowych, należy w pierwszej kolejności zastanowić się nad tym, czym przetwarzanie danych osobowych jest. Zgodnie z ogólną definicją zawartą w słowniczku z art. 4 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Projektując, czy też analizując procesy przetwarzania danych osobowych już istniejące w naszej organizacji, należy mieć nie tyle świadomość, ale również wiedzę na temat tego, co wynika z ww. definicji. Często podczas pracy audytowej spotykam się z nieznajomością czy też błędnym przekonaniem co rozumiemy za przetwarzanie danych osobowych. Managerowie, osoby odpowiedzialne za procesy kadrowe nierzadko mają mgliste albo zaburzone pojęcie co do operacji przetwarzania – „Ja nie przetwarzam danych osobowych, tylko gromadzę CV…”; „Cóż… Zapisuję numer telefonu i nazwisko jak ktoś do mnie dzwoni w Excelu, ale nie tworzę żadnej bazy, ja nie przetwarzam danych osobowych…”. Jeżeli właściwie nie dokonamy identyfikacji procesów, nie stworzymy właściwej ścieżki postępowania, nie przygotujemy jednego z szeregu dokumentów wymaganych przez RODO – chociażby rejestru czynności przetwarzania czy też rejestru kategorii, a co najważniejsze nie zidentyfikujemy ryzyk jakie mogą wiązać się z naszą działalnością w obszarze przetwarzania danych osobowych.
2. Przywiązujemy zbyt dużą uwagę do dokumentacji, zapominając, że dokumentacja nigdy się nie kończy;
Zapominamy, że ochrona danych osobowych jest procesem ciągłym a nie jednorazowym (wynika to chociażby z art. 32 ust. 1 lit. d) RODO – regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.). Po wnikliwej analizie przepisów rozporządzenia, wyjaśnień zawartych w preambule, należy zwrócić uwagę, iż cały proces przetwarzania danych osobowych musi być oparty na ryzyku z nim związanym. Ryzyko musi być sukcesywnie mierzone a stosowane procesy modyfikowane tak, aby za ryzykiem nadążały. Wielokrotnie można spotkać się z podejściem projektowym, zaczerpniętym zapewne z metodologii PRINCE, w którym to 7 ostatnim krokiem jest zamknięcie projektu, który zazwyczaj kończy się na podjęciu uchwały zarządu o wdrożeniu Polityki Ochrony Danych Osobowych (PODO) wraz z załącznikami. W przypadku procesu ochrony danych osobowych ta metodyka w dłuższym rozrachunku nie będzie prawidłowa. Ochrona danych osobowych nie kończy się na wdrożeniu odpowiednich rozwiązań organizacyjnych w postaci PODO – jest to proces ciągły, który po wprowadzeniu polityk dopiero się zaczyna, jest to PRINCE bez siódmego, ostatniego etapu – zamknięcia projektu. Bezwzględnie należy od tym pamiętać.
3. Nie poszerzamy wiedzy naszej ani naszych pracowników
Aby ochrona danych osobowych w naszej organizacji nie była tylko zbiorem polityk, których nikt oprócz radcy prawnego, inspektora ochrony danych (o ile został powołany) czy też zarządu nie przeczytał, należy w sposób zorganizowany i ciągły podnosić świadomość naszych pracowników w tym obszarze. Nie wystarczy raz przeszkolić pracownika, odebrać jego podpis na liście szkoleniowej żeby sprostać zasadzie rozliczalności. RODO nakłada na nas obowiązek ciągłego poszerzania naszej wiedzy w tym zakresie, tak aby brak świadomości nie przyczynił się do obniżenia bezpieczeństwa danych osobowych przez nas administrowanych czy też powierzonych do przetwarzania – należy pamiętać, że czynniki ludzki jest najsłabszym ogniwem.
