iSecure logo
Blog

Jak „podejść” do przetwarzania danych osobowych w swojej organizacji?

Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych osobowych w naszej organizacji? Na co należy zwrócić szczególną uwagę?

1. Po pierwsze – identyfikacja procesów przetwarzania.

Aby właściwie przejść przez kolejne stadia wtajemniczenia w temat, jakim jest ochrona danych osobowych, należy w pierwszej kolejności zastanowić się nad tym, czym przetwarzanie danych osobowych jest. Zgodnie z ogólną definicją zawartą w słowniczku z art. 4 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Projektując, czy też analizując procesy przetwarzania danych osobowych już istniejące w naszej organizacji, należy mieć nie tyle świadomość, ale również wiedzę na temat tego, co wynika z ww. definicji. Często podczas pracy audytowej spotykam się z nieznajomością czy też błędnym przekonaniem co rozumiemy za przetwarzanie danych osobowych. Managerowie, osoby odpowiedzialne za procesy kadrowe nierzadko mają mgliste albo zaburzone pojęcie co do operacji przetwarzania – „Ja nie przetwarzam danych osobowych, tylko gromadzę CV…”; „Cóż… Zapisuję numer telefonu i nazwisko jak ktoś do mnie dzwoni w Excelu, ale nie tworzę żadnej bazy, ja nie przetwarzam danych osobowych…”. Jeżeli właściwie nie dokonamy identyfikacji procesów, nie stworzymy właściwej ścieżki postępowania, nie przygotujemy jednego z szeregu dokumentów wymaganych przez RODO – chociażby rejestru czynności przetwarzania czy też rejestru kategorii, a co najważniejsze nie zidentyfikujemy ryzyk jakie mogą wiązać się z naszą działalnością w obszarze przetwarzania danych osobowych.

2. Przywiązujemy zbyt dużą uwagę do dokumentacji, zapominając, że dokumentacja nigdy się nie kończy;

Zapominamy, że ochrona danych osobowych jest procesem ciągłym a nie jednorazowym (wynika to chociażby z art. 32 ust. 1 lit. d) RODO – regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.). Po wnikliwej analizie przepisów rozporządzenia, wyjaśnień zawartych w preambule, należy zwrócić uwagę, iż cały proces przetwarzania danych osobowych musi być oparty na ryzyku z nim związanym. Ryzyko musi być sukcesywnie mierzone a stosowane procesy modyfikowane tak, aby za ryzykiem nadążały. Wielokrotnie można spotkać się z podejściem projektowym, zaczerpniętym zapewne z metodologii PRINCE, w którym to 7 ostatnim krokiem jest zamknięcie projektu, który zazwyczaj kończy się na podjęciu uchwały zarządu o wdrożeniu Polityki Ochrony Danych Osobowych (PODO) wraz z załącznikami. W przypadku procesu ochrony danych osobowych ta metodyka w dłuższym rozrachunku nie będzie prawidłowa. Ochrona danych osobowych nie kończy się na wdrożeniu odpowiednich rozwiązań organizacyjnych w postaci PODO – jest to proces ciągły, który po wprowadzeniu polityk dopiero się zaczyna, jest to PRINCE bez siódmego, ostatniego etapu – zamknięcia projektu. Bezwzględnie należy od tym pamiętać.

3. Nie poszerzamy wiedzy naszej ani naszych pracowników

Aby ochrona danych osobowych w naszej organizacji nie była tylko zbiorem polityk, których nikt oprócz radcy prawnego, inspektora ochrony danych (o ile został powołany) czy też zarządu nie przeczytał, należy w sposób zorganizowany i ciągły podnosić świadomość naszych pracowników w tym obszarze. Nie wystarczy raz przeszkolić pracownika, odebrać jego podpis na liście szkoleniowej żeby sprostać zasadzie rozliczalności. RODO nakłada na nas obowiązek ciągłego poszerzania naszej wiedzy w tym zakresie, tak aby brak świadomości nie przyczynił się do obniżenia bezpieczeństwa danych osobowych przez nas administrowanych czy też powierzonych do przetwarzania – należy pamiętać, że czynniki ludzki jest najsłabszym ogniwem.

Podobne wpisy:

Wymiana doświadczenia

Twoja zgoda nie musi być taka formalna, czyli o sztuce pisania klauzul

Niektórzy mówią, że zgoda to najważniejsza przesłanka przetwarzania danych. To oczywiście nieprawda, ponieważ RODO przewiduje sześć równorzędnych i w pełni autonomicznych „opcji” na bazie których można oprzeć działania na danych osobowych. Ale faktem jest, że zgoda jest dość często wykorzystywana – zwłaszcza w kontekście marketingowym. Czy słusznie tak często po nią sięgamy? Tu prostej odpowiedzi […]

UODO sprawdza jak pracuje IOD – czyli o co chodzi z listą 27 pytań

Prezes Urzędu Ochrony Danych Osobowych opublikował dnia 30.03.2022 r. listę pytań jakie zamierza skierować do administratorów oraz podmiotów przetwarzających w zakresie ustalenia poprawności powołania Inspektora Ochrony Danych (IOD) oraz prawidłowości wykonywanych przez niego zadań. Jak podaje UODO w swoim komunikacie, prowadzone przez niego od początku obowiązywania RODO postępowania, często inicjowane na skutek zgłaszanych przypadków nieprzestrzegania […]

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Co dalej z transferem danych osobowych do państw trzecich? Kilka słów o projekcie standardowych klauzul umownych

Aktualnie najbardziej palącą kwestią związaną z przetwarzaniem danych osobowych jest ich przekazywanie do państw trzecich. Chociaż od wydania wyroku w sprawie Schrems II minęły już 4 miesiące, nadal tak naprawdę nie mamy jasności, jakie kroki należy podjąć w przypadku przekazywania danych osobowych poza EOG, zwłaszcza do USA. Listopad przyniósł nam dwie niespodzianki jeśli chodzi o […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki