Rzeczpospolita Prawo

Post RODO ochroni firmy przed gigantycznymi karami

Czy jednorazowe projekty wdrożeniowe RODO mogą być remedium na zarządzanie ochroną danych, jakiego wymaga prawo i regulator?

Publikacja: 14.03.2019 12:16

Maciej Mackiewicz

Maciej Mackiewicz

Foto: materiały prasowe

Maciej Mackiewicz

Niemal każdy polski przedsiębiorca pamięta gorączkowe przygotowania oraz kolejne wysyłki obowiązków informacyjnych do swoich klientów na kilka dni przed 25 maja 2018 roku. Był to czas audytów, opracowywania procedur wewnętrznych i szkoleń pracowników, modyfikacji formularzy, zbierania nowych zgód przetwarzania danych osobowych i niekończących się negocjacji umów powierzenia przetwarzania danych osobowych. Od tego czasu do Urzędu Ochrony Danych Osobowych wpłynęło blisko 4 000 skarg dotyczących przetwarzania danych osobowych. Urząd zatrudnił już kilkudziesięciu nowych pracowników i wciąż rekrutuje dalej. Prezes UODO zapowiada surowe kary, które pojawiały się już w Europie i sięgnęły kilkudziesięciu milinów euro za prowadzenie biznesu niezgodnie z RODO.

Czytaj także: RODO: finansowe kary są nieuniknione 

Czy jednorazowe projekty wdrożeniowe RODO są remedium na zarządzanie ochroną danych, jakiego wymaga prawo i regulator? Odpowiedź jest jednoznaczna. Samo wdrożenie wymogów Rozporządzenia jest sukcesem, ale do osiągnięcia tzw. stanu „RODO – OK" wymagane jest ciągłe dbanie o bezpieczeństwo, co jest pewnego rodzaju zmianą mentalności organizacji, podejścia do ochrony danych, nawyków managerów i pracowników oraz odpowiedzialności za dane.

Kluczowe jest zachowanie wszelkich zasad określonych w art. 5 RODO, m.in. takich jak poufność, integralność, rozliczalność czy prawidłowość.Wydaje się, że najłatwiej jest osiągnąć bezpieczny poziom przetwarzania danych, trzymając się kilku narzędzi, które nazywamy „POST – RODO".

Wewnętrzne audyty w organizacji

Na podstawie analizy Rozporządzenia, wytypować można blisko 90 przypadków naruszeń, za które mogą nas spotkać poważne, wyjątkowo trudne do oszacowania skutki i konsekwencje, sięgające nawet 20 milionów euro.

Najbardziej fundamentalne naruszenia dotyczą podstawowych zasad przetwarzania danych, w tym warunków zgody oraz realizacji praw osób, których dane dotyczą (uprawnień i żądań osób fizycznych). Potraktowanie w wyjątkowo poważny i uważny sposób każdego zgłoszenia czy skargi lub żądania osoby fizycznej jest praktyką niezbędna w celu bezpiecznego funkcjonowania biznesu.

Niezbędne jest także sprawdzenie, poprzez wewnętrzny audyt, faktycznego poziomu bezpieczeństwa i prawidłowości przetwarzania danych w danej organizacji. Ważne jest jednak to, aby był on przeprowadzony w sposób praktyczny, a nie „formalny". Najłatwiej zobrazować można to poprzez sytuacje związane z audytem systemów IT pod kątem rozliczalności. W tym przypadku nie poprzestajemy tylko na oświadczeniu administratora systemu, ale prowadzimy oględziny, prosimy o dokumentację modyfikacji czy też test polityki haseł.

Audyt u procesora

Zgodnie z art. 28 RODO, administrator danych, wybierając partnerów biznesowych lub podwykonawców, którym zamierza powierzyć dane osobowe, powinien brać pod uwagę, czy zapewniają oni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Powierzenie danych do przetwarzania innemu podmiotowi nie zwalnia Administratora z odpowiedzialności za ewentualne incydenty. Praktyką rynkową jest więc odbieranie stosownego oświadczenia od procesora o spełnieniu wymogów RODO. W tym samym przepisie wskazano obowiązek zawarcia w umowie z partnerem biznesowym lub podwykonawcą możliwości przeprowadzenia audytu i inspekcji u procesora. Założeniem unijnego ustawodawcy było wprowadzenie praktyki samodzielnego przeprowadzania audytów w ramach relacji gospodarczych, co jest również przesłanką należytej staranności administratora i jego odpowiedzialności za wdrożone środki techniczne i organizacyjne.

Przeprowadzenie audytu u procesora wymaga szeregu czynności oraz doświadczenia w prowadzeniu takich działań. Ponadto kary umowne na krajowym rynku sięgające w wielu przypadkach kilkuset tysięcy złotych za każdy przypadek naruszenia, (pewnym standardem w większych przedsiębiorstwach i korporacjach jest 100 000 złotych) są również elementem uzasadniającym cykliczne przeprowadzenie kontroli czy inspekcji.

Warto przy tej okazji sprawdzić również, kto faktycznie posiada dostęp do danych osobowych powierzonych do przetwarzania, prosząc o listę subprocesorów i osób upoważnionych.

Szkolenia w formie warsztatowej

Każdy administrator, upoważniając pracowników do przetwarzania danych osobowych i budując system ochrony danych, powinien zapoznać swój personel i osoby współpracujące z zasadami przetwarzania danych osobowych oraz uczulić osoby szkolone na zagrożenia i ryzyka związane z przetwarzaniem danych. Systematyczne podnoszenie świadomości w tym zakresie ogranicza ryzyko prawne.

Przeprowadzenie efektywnego szkolenia nie tylko podnosi bezpieczeństwo w organizacji, ale także statuuje odpowiedzialność i przenosi ją również na osoby przetwarzające dane w codziennej pracy.

Szereg szkoleń, prowadzonych zwłaszcza w tzw. „gorącym okresie" RODO, miało postać e-learningu lub szkoleń prowadzonych w formie wykładu. Nie jest to jednak efektywna forma przekazywania wiedzy na temat ochrony danych osobowych. Firmy powinny inwestować w warsztaty mające charakter interaktywny, uwzględniający odpowiednie przygotowanie merytoryczne każdego pracownika, jako, że to człowiek stanowi najsłabsze ogniwo każdego systemu bezpieczeństwa.

RODO w nowych produktach i usługach

RODO wprowadziło wytyczne dla Administratorów Danych dotyczące nowych usług i produktów. Zgodnie z zasadą oceny skutków dla procesów przetwarzania (z ang. "Privacy Impact Assessment"), przed rozpoczęciem operacji przetwarzania danych osobowych, które może nieść za sobą ryzyko dla podmiotów tych danych (np. danych wrażliwych), należy przeprowadzić ocenę skutków dla ochrony danych w wyniku realizacji danego przedsięwzięcia czy projektu. Zasady prywatności w fazie projektowania (z ang. "Privacy by design") oraz prywatności jako ustawienia domyślnego dla każdego rozwiązania (z ang. "Privacy by default") obligują administratorów do stosowania rozwiązań chroniących prywatność już na etapie wdrażania nowych usług lub produktów oraz implementowania mechanizmów zapewniających taką ochronę.

Maciej Mackiewicz, adwokat, Partner, Szef Praktyki Technologie, Ochrona Danych w Kochański i partnerzy

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Kadry Finanse w Firmie

Niemal każdy polski przedsiębiorca pamięta gorączkowe przygotowania oraz kolejne wysyłki obowiązków informacyjnych do swoich klientów na kilka dni przed 25 maja 2018 roku. Był to czas audytów, opracowywania procedur wewnętrznych i szkoleń pracowników, modyfikacji formularzy, zbierania nowych zgód przetwarzania danych osobowych i niekończących się negocjacji umów powierzenia przetwarzania danych osobowych. Od tego czasu do Urzędu Ochrony Danych Osobowych wpłynęło blisko 4 000 skarg dotyczących przetwarzania danych osobowych. Urząd zatrudnił już kilkudziesięciu nowych pracowników i wciąż rekrutuje dalej. Prezes UODO zapowiada surowe kary, które pojawiały się już w Europie i sięgnęły kilkudziesięciu milinów euro za prowadzenie biznesu niezgodnie z RODO.

Pozostało 87% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Ministerstwo Zdrowia
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Kiedy można wyłączyć grunty z produkcji rolnej
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie