RODO – czy na pewno „weszło w życie”?
Autor: Kacper Kałagate vel Kałagow – Inspektor Ochrony Danych
Europejskie zasady dotyczące ochrony danych osobowych zostały zaimplementowane do naszego rodzimego systemu prawnego już przeszło 3 lata temu. Śmiało można stwierdzić, że praktycznie każdy Polak podpisując umowę z przedsiębiorcami czy załatwiając formalności w różnego rodzaju urzędach państwowych spotkał się z informacjami dotyczącymi danych osobowych, zawartymi zazwyczaj na papierowych dokumentach bądź w czytanych nam przez automatyczną sekretarkę po komunikacie o nagrywaniu rozmowy w przypadku połączenia telefonicznego.
Na pierwszy rzut oka wszystko wygląda poprawnie, szczególnie w przypadku stereotypowego Kowalskiego, który w 2022 roku zamiast na ochronie swoich danych osobowych skupia się narastających problemach życia codziennego polegających na zadaniach biznesowych, rodzinnych, czy tych szczególnie ciężkich – związanych z panującą pandemią COVID-19. Jest to oczywiście w pełni zrozumiałe, jednak gdyby znaleźć trochę czasu i problemowi przyjrzeć się w sposób dokładny, łatwo można natrafić na wiele wątpliwości oraz problemów dotyczących przetwarzania danych przez dzisiejszych administratorów. Wybrane z nich opiszę poniżej.
Problemy przedsiębiorców z RODO
Swoistego rodzaju ranking pięciu największych „bolączek RODO” postanowiłem przeprowadzić na podstawie informacji pozyskanych w związku z wykonywaniem obowiązków zawodowych w charakterze inspektora ochrony danych, ale i na podstawie prywatnych wizyt u polskich przedsiębiorców, czy rozmów ze znajomymi przedstawiającymi swoje opinie w opisanym we wstępie temacie.
1. Dbałość tylko o to, co widoczne
Wielu z administratorów przetwarzających dane osobowe posiada podstawową dokumentację dotyczącą ochrony danych osobowych, ale tylko i wyłącznie w zakresie, który widać na pierwszy rzut oka. Zazwyczaj ogranicza się ona do klauzul informacyjnych, zapisów w umowie, czy zgodach dla klientów. Niestety, podczas gdy zostają oni zapytani o niezbędne rejestry, polityki, umowy powierzenia czy odpowiednie upoważnienia do przetwarzania danych osobowych – zaczynają zgrzytać zębami, a pamiętać należy, że za brak odpowiedniej dokumentacji na podstawie art. 83 Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć na administratora karę sięgającą nawet kilku milionów złotych.
2. Brak wystarczającej wiedzy
Dotyczy to zarówno pracowników jak i zgłoszonych do PUODO przez administratorów inspektorów ochrony danych (IOD) – do których przejdę w następnym punkcie. Po takim czasie od wejścia w życie RODO oraz w obliczu tylu zagrożeń czyhających w dzisiejszych czasach na nasze dane osobowe, standardem powinno być posiadanie specjalistycznej wiedzy dotyczącej danych osobowych wśród pracowników firm. Przeszkolony personel to jeden z ważniejszych filarów dla bezpieczeństwa danych. Dlatego warto zdecydować się na profesjonalne szkolenia, które poza ogólnymi informacjami przekazują także wiedzę dostosowaną do poszczególnych stanowisk w firmie.
3. Brak dochowania należytej staranności przy wyznaczaniu IOD
Zgodnie z art. 37 Rozporządzenia RODO inspektor ochrony danych powinien być wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania narzuconych przez Rozporządzenie RODO zadań. W rzeczywistości, wielokrotnie można spotkać się z sytuacją, w której poprzez „ciągnięcie zapałek” wybiera się na inspektora jednego z pracowników, a następnie dokłada mu się dodatkowych obowiązków: na podstawie podpisanego oświadczenia o uczestnictwie w szkoleniu oraz kompetencji prawnych wynikających z wpisywania nazw kontrahentów w komparycjach umów zawieranych przez przedsiębiorcę. Przy wyznaczaniu inspektora należy pamiętać o tym, że jest on odpowiedzialny nie tylko za stworzenie odpowiedniej dokumentacji, ale także zabezpieczenie danych czy reprezentację administratora przez organami, między innymi w przypadkach naruszenia ochrony danych. Takim wyzwaniom, w sposób prawidłowy jest w stanie sprostać jedynie profesjonalny IOD lub osoba przygotowana do tego w odpowiedni sposób poprzez odbycie szkolenia dla IOD.
Szukasz Inspektora Ochrony Danych dla Twojej firmy? Skontaktuj się z nami. Tel. 68 411 40 46
4. Dokumentacja skopiowana z Internetu
Wiele razy w życiu słyszałem słowa „na bezpieczeństwie nie należy oszczędzać”. Zazwyczaj używamy tych słów przy zakupie nowego auta, fotelika dla naszych dzieci, czy kasku na rower. Pojawia się jednak pytanie, dlaczego zapominamy o tym bezpieczeństwie w przypadku naszego własnego biznesu oraz danych, które przetwarzamy. Mnóstwo firm, które udało mi się odwiedzić bazuje swoją dokumentację na plikach ściągniętych z Internetu, które nie tylko nie spełniają wymagań wynikających z obowiązującego prawa, ale także narażają administratora danych na olbrzymie konsekwencje finansowe. Skrajnym przypadkiem, na który się natknąłem, była zgoda na przetwarzanie danych osobowych, którą podpisywaliśmy przy okazji rejestracji, po czym jej cel uzupełniano dopiero po pewnym czasie.
5. Ochrona danych osobowych to nie tylko system prawny
Kolejnym przykładem niedociągnięć w przetwarzaniu danych osobowych przez administratorów jest brak świadomości tego, że osoba zabezpieczając dane osobowe nie zapewni im pełnego bezpieczeństwa wdrażając jedynie procedury czy polityki. Implementując system ochrony danych, przedsiębiorca musi pamiętać także o praktycznym wykorzystaniu tych dokumentów w zakresie ochrony fizycznej i informatycznej. W szczególności ta ostatnia narażona jest ostatnimi czasy na ataki ze strony osób nielegalnie pozyskujących dane. Bez pomocy specjalisty z zakresu informatyki czy cyberbezpieczeństwa, IOD może nie mieć wystarczającej wiedzy oraz umiejętności do prawidłowego zabezpieczenia danych osobowych. Pamiętać należy, że „dziurawe” systemy przyczyniają się do najwyższych kar nałożonych przez europejskie organy administracyjne odpowiedzialne za ochronę danych w państwach członkowskich Unii. W wielu przypadkach niezbędnym do zapewnienia bezpieczeństwa będzie przeprowadzenie odpowiedniego audytu z zakresu bezpieczeństwa informatycznego, czy aktualizacja stosowanych przez administratora zabezpieczeń systemów informatycznych.
Odpowiedzialność za ochronę danych osobowych
Mając wszystko powyższe na uwadze, łatwo zauważyć, że problem ochrony danych osobowych jest zagadnieniem niezwykle rozległym i wcale nie tak prostym do wdrożenia. Decydując się na prowadzenie własnej działalności pamiętać należy, że ponosimy odpowiedzialność przed naszymi pracownikami, klientami czy kontrahentami. Na niedociągnięciach w systemie ochrony danych może ucierpieć nasza renoma, zaufanie oraz portfel.
BHPEX oferuje kompleksowe usługi w zakresie ochrony danych osobowych.
Zapraszamy do kontaktu. Tel. 68 411 40 46.
Komentarze (0)