RODO – wdrożyłeś czy przypudrowałeś?

16-01-2019, 10:56

Mówi się, że aż połowa polskich organizacji nie dostosowała się do RODO. Czy zatem druga połowa sprostała temu wyzwaniu i wdrożyła rozwiązania przez RODO ustanowione? Wdrożyła czy tylko przypudrowała? Jakie błędy najczęściej popełniają przedsiębiorcy i które niedociągnięcia mogą narazić ich na odpowiedzialność przed organem nadzorczym?

(Zbyt) duża dowolność w wyborze zabezpieczeń

Proaktywne podejście wynikające przede wszystkim z art. 32 RODO, pozwala firmom dobierać rozwiązania mające chronić wszystkie przetwarzane przez nią informacje w oparciu o prawidłowo przeprowadzoną analizę ryzyka. Pomyłek w doborze zabezpieczeń upatrywać należy przede wszystkim w nieprawidłowym podejściu do analizy ryzyka i nieskupieniu się na jej najważniejszych elementach – a błędnie wykonana najprawdopodobniej doprowadzi do niepoprawnego zidentyfikowania zagrożenia względem danego zasobu i w konsekwencji do złego dostosowania zabezpieczenia danych.
Normą stało się niestety stosowanie prowizorycznych narzędzi do przeprowadzania analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu potencjalnego ryzyka w nim występującego i przez to jego nieuwzględnienie, a w końcu modelowanie analizy ryzyka w sposób dla administratora wygodny i niewymagający zbyt wielu działań czy nakładów pieniężnych.

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

Dostosowanie obszaru IT…

… nie ogranicza się jedynie do samego oszacowania ryzyka. Zgodnie z art. 32 RODO w oparciu o ustalenia poczynione w wyniku analizy ryzyka organizacje przetwarzające dane osobowe zobowiązane są wdrożyć „odpowiednie” środki techniczne i organizacyjne. Zdecydowanie najwięcej wątpliwości w tym zakresie może wzbudzić punkt dotyczący konieczności zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Nawet dogłębne zapoznanie się z przepisami, poradnikami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych czy Wytycznymi Grupy Roboczej art. 29, nie daje jednoznacznej odpowiedzi na pytanie, jakie środki techniczne i organizacyjne będą w tym aspekcie wystarczające.
Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji. Niestety na „biurokracji” skończyć nie możemy. Kolejnym niezmiernie ważnym oraz niezwykle trudnym do wykonania elementem jest dostosowanie infrastruktury pod kątem możliwości realizacji praw osób, których dane dotyczą.

Podmioty zewnętrzne - nie można ignorować ich udziału!

Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych i nie dostrzega potrzeby uregulowania swojego stosunku wobec podmiotu przetwarzającego. Inni z kolei masowo zawierają umowy powierzenia ze wszystkimi zidentyfikowanymi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły tego stosunku licząc, że na wypadek kontroli organu nadzorczego docenione zostanie ich, nawet błędne, podejście.
Warto zwrócić uwagę, że istnienie stosunku powierzenia determinuje stan faktyczny, a nie zawarcie przez strony umowy powierzenia. Nie ma ona bowiem charakteru konstytutywnego – sam fakt jej zawarcia nie tworzy stosunku powierzenia - a deklaratoryjny, czyli potwierdzający już istniejącą relację na linii administrator danych-procesor.
Ponadto istotna jest weryfikacja podmiotu zewnętrznego pod kątem spełniania przez niego wymogów wyrażonych w RODO. Jako administrator firma ma obowiązek upewnić się, czy procesor zapewnia odpowiedni poziom wdrożenia środków technicznych i organizacyjnych gwarantujących zgodność przetwarzania danych z przepisami RODO, w praktyce jednak niewiele organizacji jest w stanie wykazać, iż przed powierzeniem danych dokładnie sprawdzili swojego podwykonawcę.

AUTORZY

Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
2930