Niemal każdy polski przedsiębiorca pamięta gorączkowe przygotowania oraz kolejne wysyłki obowiązków informacyjnych do swoich klientów na kilka dni przed 25 maja 2018 roku. Był to czas audytów, opracowywania procedur wewnętrznych i szkoleń pracowników, modyfikacji formularzy, zbierania nowych zgód przetwarzania danych osobowych i niekończących się negocjacji umów powierzenia przetwarzania danych osobowych. Od tego czasu do Urzędu Ochrony Danych Osobowych wpłynęło blisko 4 000 skarg dotyczących przetwarzania danych osobowych. Urząd zatrudnił już kilkudziesięciu nowych pracowników i wciąż rekrutuje dalej. Prezes UODO zapowiada surowe kary, które pojawiały się już w Europie i sięgnęły kilkudziesięciu milinów euro za prowadzenie biznesu niezgodnie z RODO.
Czytaj także: RODO: finansowe kary są nieuniknione
Czy jednorazowe projekty wdrożeniowe RODO są remedium na zarządzanie ochroną danych, jakiego wymaga prawo i regulator? Odpowiedź jest jednoznaczna. Samo wdrożenie wymogów Rozporządzenia jest sukcesem, ale do osiągnięcia tzw. stanu „RODO – OK" wymagane jest ciągłe dbanie o bezpieczeństwo, co jest pewnego rodzaju zmianą mentalności organizacji, podejścia do ochrony danych, nawyków managerów i pracowników oraz odpowiedzialności za dane.
Kluczowe jest zachowanie wszelkich zasad określonych w art. 5 RODO, m.in. takich jak poufność, integralność, rozliczalność czy prawidłowość.Wydaje się, że najłatwiej jest osiągnąć bezpieczny poziom przetwarzania danych, trzymając się kilku narzędzi, które nazywamy „POST – RODO".
Wewnętrzne audyty w organizacji
Na podstawie analizy Rozporządzenia, wytypować można blisko 90 przypadków naruszeń, za które mogą nas spotkać poważne, wyjątkowo trudne do oszacowania skutki i konsekwencje, sięgające nawet 20 milionów euro.
Najbardziej fundamentalne naruszenia dotyczą podstawowych zasad przetwarzania danych, w tym warunków zgody oraz realizacji praw osób, których dane dotyczą (uprawnień i żądań osób fizycznych). Potraktowanie w wyjątkowo poważny i uważny sposób każdego zgłoszenia czy skargi lub żądania osoby fizycznej jest praktyką niezbędna w celu bezpiecznego funkcjonowania biznesu.
Niezbędne jest także sprawdzenie, poprzez wewnętrzny audyt, faktycznego poziomu bezpieczeństwa i prawidłowości przetwarzania danych w danej organizacji. Ważne jest jednak to, aby był on przeprowadzony w sposób praktyczny, a nie „formalny". Najłatwiej zobrazować można to poprzez sytuacje związane z audytem systemów IT pod kątem rozliczalności. W tym przypadku nie poprzestajemy tylko na oświadczeniu administratora systemu, ale prowadzimy oględziny, prosimy o dokumentację modyfikacji czy też test polityki haseł.
Audyt u procesora
Zgodnie z art. 28 RODO, administrator danych, wybierając partnerów biznesowych lub podwykonawców, którym zamierza powierzyć dane osobowe, powinien brać pod uwagę, czy zapewniają oni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Powierzenie danych do przetwarzania innemu podmiotowi nie zwalnia Administratora z odpowiedzialności za ewentualne incydenty. Praktyką rynkową jest więc odbieranie stosownego oświadczenia od procesora o spełnieniu wymogów RODO. W tym samym przepisie wskazano obowiązek zawarcia w umowie z partnerem biznesowym lub podwykonawcą możliwości przeprowadzenia audytu i inspekcji u procesora. Założeniem unijnego ustawodawcy było wprowadzenie praktyki samodzielnego przeprowadzania audytów w ramach relacji gospodarczych, co jest również przesłanką należytej staranności administratora i jego odpowiedzialności za wdrożone środki techniczne i organizacyjne.
Przeprowadzenie audytu u procesora wymaga szeregu czynności oraz doświadczenia w prowadzeniu takich działań. Ponadto kary umowne na krajowym rynku sięgające w wielu przypadkach kilkuset tysięcy złotych za każdy przypadek naruszenia, (pewnym standardem w większych przedsiębiorstwach i korporacjach jest 100 000 złotych) są również elementem uzasadniającym cykliczne przeprowadzenie kontroli czy inspekcji.
Warto przy tej okazji sprawdzić również, kto faktycznie posiada dostęp do danych osobowych powierzonych do przetwarzania, prosząc o listę subprocesorów i osób upoważnionych.
Szkolenia w formie warsztatowej
Każdy administrator, upoważniając pracowników do przetwarzania danych osobowych i budując system ochrony danych, powinien zapoznać swój personel i osoby współpracujące z zasadami przetwarzania danych osobowych oraz uczulić osoby szkolone na zagrożenia i ryzyka związane z przetwarzaniem danych. Systematyczne podnoszenie świadomości w tym zakresie ogranicza ryzyko prawne.
Przeprowadzenie efektywnego szkolenia nie tylko podnosi bezpieczeństwo w organizacji, ale także statuuje odpowiedzialność i przenosi ją również na osoby przetwarzające dane w codziennej pracy.
Szereg szkoleń, prowadzonych zwłaszcza w tzw. „gorącym okresie" RODO, miało postać e-learningu lub szkoleń prowadzonych w formie wykładu. Nie jest to jednak efektywna forma przekazywania wiedzy na temat ochrony danych osobowych. Firmy powinny inwestować w warsztaty mające charakter interaktywny, uwzględniający odpowiednie przygotowanie merytoryczne każdego pracownika, jako, że to człowiek stanowi najsłabsze ogniwo każdego systemu bezpieczeństwa.
RODO w nowych produktach i usługach
RODO wprowadziło wytyczne dla Administratorów Danych dotyczące nowych usług i produktów. Zgodnie z zasadą oceny skutków dla procesów przetwarzania (z ang. "Privacy Impact Assessment"), przed rozpoczęciem operacji przetwarzania danych osobowych, które może nieść za sobą ryzyko dla podmiotów tych danych (np. danych wrażliwych), należy przeprowadzić ocenę skutków dla ochrony danych w wyniku realizacji danego przedsięwzięcia czy projektu. Zasady prywatności w fazie projektowania (z ang. "Privacy by design") oraz prywatności jako ustawienia domyślnego dla każdego rozwiązania (z ang. "Privacy by default") obligują administratorów do stosowania rozwiązań chroniących prywatność już na etapie wdrażania nowych usług lub produktów oraz implementowania mechanizmów zapewniających taką ochronę.
Maciej Mackiewicz, adwokat, Partner, Szef Praktyki Technologie, Ochrona Danych w Kochański i partnerzy
