iSecure logo
Blog

Jak „podejść” do przetwarzania danych osobowych w swojej organizacji?

Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych osobowych w naszej organizacji? Na co należy zwrócić szczególną uwagę?

1. Po pierwsze – identyfikacja procesów przetwarzania.

Aby właściwie przejść przez kolejne stadia wtajemniczenia w temat, jakim jest ochrona danych osobowych, należy w pierwszej kolejności zastanowić się nad tym, czym przetwarzanie danych osobowych jest. Zgodnie z ogólną definicją zawartą w słowniczku z art. 4 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Projektując, czy też analizując procesy przetwarzania danych osobowych już istniejące w naszej organizacji, należy mieć nie tyle świadomość, ale również wiedzę na temat tego, co wynika z ww. definicji. Często podczas pracy audytowej spotykam się z nieznajomością czy też błędnym przekonaniem co rozumiemy za przetwarzanie danych osobowych. Managerowie, osoby odpowiedzialne za procesy kadrowe nierzadko mają mgliste albo zaburzone pojęcie co do operacji przetwarzania – „Ja nie przetwarzam danych osobowych, tylko gromadzę CV…”; „Cóż… Zapisuję numer telefonu i nazwisko jak ktoś do mnie dzwoni w Excelu, ale nie tworzę żadnej bazy, ja nie przetwarzam danych osobowych…”. Jeżeli właściwie nie dokonamy identyfikacji procesów, nie stworzymy właściwej ścieżki postępowania, nie przygotujemy jednego z szeregu dokumentów wymaganych przez RODO – chociażby rejestru czynności przetwarzania czy też rejestru kategorii, a co najważniejsze nie zidentyfikujemy ryzyk jakie mogą wiązać się z naszą działalnością w obszarze przetwarzania danych osobowych.

2. Przywiązujemy zbyt dużą uwagę do dokumentacji, zapominając, że dokumentacja nigdy się nie kończy;

Zapominamy, że ochrona danych osobowych jest procesem ciągłym a nie jednorazowym (wynika to chociażby z art. 32 ust. 1 lit. d) RODO – regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.). Po wnikliwej analizie przepisów rozporządzenia, wyjaśnień zawartych w preambule, należy zwrócić uwagę, iż cały proces przetwarzania danych osobowych musi być oparty na ryzyku z nim związanym. Ryzyko musi być sukcesywnie mierzone a stosowane procesy modyfikowane tak, aby za ryzykiem nadążały. Wielokrotnie można spotkać się z podejściem projektowym, zaczerpniętym zapewne z metodologii PRINCE, w którym to 7 ostatnim krokiem jest zamknięcie projektu, który zazwyczaj kończy się na podjęciu uchwały zarządu o wdrożeniu Polityki Ochrony Danych Osobowych (PODO) wraz z załącznikami. W przypadku procesu ochrony danych osobowych ta metodyka w dłuższym rozrachunku nie będzie prawidłowa. Ochrona danych osobowych nie kończy się na wdrożeniu odpowiednich rozwiązań organizacyjnych w postaci PODO – jest to proces ciągły, który po wprowadzeniu polityk dopiero się zaczyna, jest to PRINCE bez siódmego, ostatniego etapu – zamknięcia projektu. Bezwzględnie należy od tym pamiętać.

3. Nie poszerzamy wiedzy naszej ani naszych pracowników

Aby ochrona danych osobowych w naszej organizacji nie była tylko zbiorem polityk, których nikt oprócz radcy prawnego, inspektora ochrony danych (o ile został powołany) czy też zarządu nie przeczytał, należy w sposób zorganizowany i ciągły podnosić świadomość naszych pracowników w tym obszarze. Nie wystarczy raz przeszkolić pracownika, odebrać jego podpis na liście szkoleniowej żeby sprostać zasadzie rozliczalności. RODO nakłada na nas obowiązek ciągłego poszerzania naszej wiedzy w tym zakresie, tak aby brak świadomości nie przyczynił się do obniżenia bezpieczeństwa danych osobowych przez nas administrowanych czy też powierzonych do przetwarzania – należy pamiętać, że czynniki ludzki jest najsłabszym ogniwem.

Podobne wpisy:

Nowa decyzja o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”

10 lipca 2023 r. Komisja Europejska przyjęła – na podstawie art. 45 RODO – decyzję o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”. To zwieńczenie długiego procesu budowania nowej regulacji do wymiany danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi, który rozpoczął się wkrótce po uchyleniu poprzedniej decyzji o zapewnieniu odpowiedniego poziomu ochrony […]

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

Wstęp Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki