RODO – wdrożyłeś czy przypudrowałeś?

Pod koniec ubiegłego roku dużo mówiło się o porażających statystykach, zgodnie z którymi aż połowa polskich organizacji przyznaje, że nie poradziła sobie z dostosowaniem do RODO. Przy tak przytłaczającej liczbie tych, którzy ponieśli porażkę przy implementowaniu nowych przepisów unijnych lub w ogóle nie podjęli działań mających zapewnić im zgodność z Rozporządzeniem, mało kto poświęca uwagę drugiej połowie, która – rzekomo – sprostała temu wyzwaniu i wdrożyła rozwiązania przez RODO ustanowione. Właśnie… wdrożyła czy tylko przypudrowała? Jakie błędy najczęściej popełniają przedsiębiorcy i które niedociągnięcia mogą narazić ich na odpowiedzialność przed organem nadzorczym? Wyjaśniają eksperci z firmy ODO 24.

RODO

(Zbyt) duża dowolność w wyborze zabezpieczeń

Proaktywne podejście wynikające przede wszystkim z art. 32 RODO, pozwala firmom dobierać rozwiązania mające chronić wszystkie przetwarzane przez nią informacje w oparciu o prawidłowo przeprowadzoną analizę ryzyka. Pomyłek w doborze zabezpieczeń upatrywać należy przede wszystkim w nieprawidłowym podejściu do analizy ryzyka i nieskupieniu się na jej najważniejszych elementach – a błędnie wykonana najprawdopodobniej doprowadzi do niepoprawnego zidentyfikowania zagrożenia względem danego zasobu i w konsekwencji do złego dostosowania zabezpieczenia danych – mówi Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24.

Normą stało się niestety stosowanie prowizorycznych narzędzi do przeprowadzania analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu potencjalnego ryzyka w nim występującego i przez to jego nieuwzględnienie, a w końcu modelowanie analizy ryzyka w sposób dla administratora wygodny i niewymagający zbyt wielu działań czy nakładów pieniężnych.

Dostosowanie obszaru IT…

… nie ogranicza się jedynie do samego oszacowania ryzyka. Zgodnie z art. 32 RODO w oparciu o ustalenia poczynione w wyniku analizy ryzyka organizacje przetwarzające dane osobowe zobowiązane są wdrożyć „odpowiednie” środki techniczne i organizacyjne. Zdecydowanie najwięcej wątpliwości w tym zakresie może wzbudzić punkt dotyczący konieczności zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Nawet dogłębne zapoznanie się z przepisami, poradnikami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych czy Wytycznymi Grupy Roboczej art. 29, nie daje jednoznacznej odpowiedzi na pytanie, jakie środki techniczne i organizacyjne będą w tym aspekcie wystarczające – zaznacza Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.

Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji – wskazuje Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24. Niestety na „biurokracji” skończyć nie możemy. Kolejnym niezmiernie ważnym oraz niezwykle trudnym do wykonania elementem jest dostosowanie infrastruktury pod kątem możliwości realizacji praw osób, których dane dotyczą – dodaje Damian Gąska.

Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych i nie dostrzega potrzeby uregulowania swojego stosunku wobec podmiotu przetwarzającego. Inni z kolei masowo zawierają umowy powierzenia ze wszystkimi zidentyfikowanymi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły tego stosunku licząc, że na wypadek kontroli organu nadzorczego docenione zostanie ich, nawet błędne, podejście.

Warto zwrócić uwagę, że istnienie stosunku powierzenia determinuje stan faktyczny, a nie zawarcie przez strony umowy powierzenia. Nie ma ona bowiem charakteru konstytutywnego – sam fakt jej zawarcia nie tworzy stosunku powierzenia – a deklaratoryjny, czyli potwierdzający już istniejącą relację na linii administrator danych – procesor  – mówi Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.

Ponadto istotna jest weryfikacja podmiotu zewnętrznego pod kątem spełniania przez niego wymogów wyrażonych w RODO. Jako administrator firma ma obowiązek upewnić się, czy procesor zapewnia odpowiedni poziom wdrożenia środków technicznych i organizacyjnych gwarantujących zgodność przetwarzania danych z przepisami RODO, w praktyce jednak niewiele organizacji jest w stanie wykazać, iż przed powierzeniem danych dokładnie sprawdzili swojego podwykonawcę.

 [PR]

reklama:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Rozwiąż równanie: *Time limit exceeded. Please complete the captcha once again.