Od czasu włączenia przepisów RODO w porządek prawny obowiązujący w Polsce upłynęło już 16 miesięcy. Na bazie naszych doświadczeń audytowych, zebranych w trakcie współpracy z klientami, a także obserwacji rynku, chcemy podzielić się naszymi spostrzeżeniami, jakie błędy przy wdrażaniu RODO popełniają firmy i różne instytucje.
Artykuł dostarcza informacji dotyczących najczęstszych błędów przy wdrażaniu RODO:
- Wdrożenie wymagań RODO tylko w zakresie opracowania dokumentacji
- Traktowanie wdrożenia wymagań jako jednorazowej czynności
- “RODO utrudnia życie” – czy na pewno?
- Niewłaściwe rozumienie pojęcia “dane osobowe” przez personel
- Zbieranie zgód na przetwarzanie danych w każdym przypadku
Traktowanie wdrożenia wymagań RODO tylko jako opracowanie dokumentacji
Przy wdrażaniu wymagań RODO nie należy ograniczać się do przygotowania konkretnego zestawu dokumentacji, która w potocznym rozumieniu „załatwi sprawę”. System ochrony danych osobowych to system zarządzania jak każdy inny (np. zgodny z normą ISO 27001 lub ISO 9001) uwzględniający całościowe zarządzanie danymi osobowymi w oparciu o:
- Zidentyfikowane procesy przetwarzania danych osobowych
- Jasny podział ról i odpowiedzialności w organizacji
- Wypracowane na bazie analizy ryzyka procedury i instrukcje operacyjne mające na celu sprawne i bezpieczne przetwarzanie danych
- Rekomendowane i wdrożone zabezpieczenia techniczno-organizacyjne
- Faktyczne praktyki w zakresie stosowania procedur i instrukcji w całym cyklu życia organizacji
Dla każdej organizacji może być przewidziany inny, mający indywidualny charakter zestaw dokumentacji. To Administrator danych decyduje co dla jego organizacji jest najbardziej odpowiednie, uwzględniając praktykę późniejszego jej stosowania. W żadnym przypadku nie chodzi o liczbę opracowanych dokumentów. Chodzi o ich jakość oraz przejrzystość stosowania w praktyce przez personel oraz inne osoby upoważnione.
Traktowanie wdrożenia wymagań jako jednorazowej czynności
Wdrożenie wymagań RODO nie jest jednorazową czynnością. Jest to proces, którego cykl jest nieprzerwany, dopóki w ramach firmy odbywa się przetwarzanie danych.
Zgodnie z rozważaniami poczynionymi powyżej, każdy system zarządzania, w tym system ochrony danych osobowych, oparty jest na podejściu procesowym. W ramach naszych usług, jako Soczko & Partnerzy, rekomendujemy i pomagamy wdrażać podejście procesowe zgodnie z cyklem Deminga opartym o ciągłe doskonalenie:
- P (Plan) – zaplanuj
- D (Do) – wykonaj
- C (Check) – sprawdź/zweryfikuj
- A (Act) – działaj/popraw
Takie podejście sprawia, że organizacja niweluje ryzyko naruszenia ochrony danych osobowych w organizacji, a także “zaszczepia” wśród osób przetwarzających dane (personel, dostawcy) bardziej świadomy stosunek do ochrony danych.
Poczucie, że RODO utrudnia życie
Przepisy RODO z perspektywy Administratora danych często kojarzą się ze smutnym obowiązkiem prawnym, z biurokracją oraz dodatkowymi kosztami w zakresie wdrożenia potencjalnych zmian. Jednak jest to podejście często spowodowane stereotypowym nastawieniem organizacji do zmian, strachem przed karami, a także brakiem świadomości. Natomiast przepisy RODO de facto miały przynieść i przynoszą, zwłaszcza organizacjom, które wcześniej nie wdrożyły systemu ochrony danych osobowych, wymierne korzyści. Są to m.in:
- zwiększenie ochrony prywatności klientów i pracowników, co wpływa pozytywnie na postrzeganie przez nich organizacji;
- większa świadomość klientów oraz pracowników w zakresie zbieranych i przekazywanych danych, co redukuje ryzyko reklamacji i skarg, w tym do organu nadzorczego;
- zwiększenie bezpieczeństwa organizacji, poprzez możliwość wykrycia różnych nieprawidłowości w niej występujących i sprawnego ich wyeliminowania;
- podniesienie poziomu dojrzałości organizacji w zarządzaniu procesami i bezpieczeństwie informacji.
RODO nie określa, jak organizacja ma chronić przetwarzane dane. Każda organizacja ma wolność wyboru stosownych zabezpieczeń w zakresie zapewnienia ochrony danych, uwzględniając czynnik ryzyka. Warto także pamiętać o zdrowym rozsądku przy doborze zabezpieczeń. Nie należy dopuszczać do powstania absurdów, które nie zwiększają ochrony danych, a tylko utrudniają życie.
O “absurdach RODO” będziemy pisać w kolejnych artykułach. Zapisz się na nasz newsletter – a my powiadomimy Cię o nowych treściach na blogu.
Podsumowując, ważne jest odpowiednie zaplanowanie podejścia do projektowania sposobu implementacji wymagań RODO tak, aby osiągnąć pełne zrozumienie potrzeb i niezbędnych zmian, które należy poczynić dla skutecznej ochrony danych osobowych w organizacji.
Niewłaściwe rozumowanie pojęcia „dane osobowe” przez personel
Na styku współpracy z naszymi klientami, często spotykaliśmy się z sytuacją, że osoby przetwarzające dane osobowe dopiero od nas dowiadywały się, że je przetwarzają w ramach swoich obowiązków. “Czy ja na pewno przetwarzam dane osobowe?” – takie pytanie zadaje sobie wielu przedsiębiorców.
Zgodnie z definicją płynącą z art. 4 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); (…) którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Kluczową kwestią jest określenie czy przetwarzanie danych jest związane z konkretną osobą, którą chcemy lub łatwo możemy zidentyfikować (np. na podstawie samego nazwiska, przypisanego numeru, zapisanego pliku cookie lub wizerunku). Jeśli przetwarzanie służy takim celom, to bez wątpienia przetwarzamy dane osobowe, niezależnie od ich zakresu.
Na bazie naszych obserwacji, możemy stwierdzić, że w każdej organizacji występują procesy biznesowe, w ramach których odbywa się przetwarzanie danych osobowych. Jeśli jako organizacja, firma, instytucja, dostrzegamy, że personel ma trudność z jednoznaczną odpowiedzią czy przetwarza dane osobowe, rekomendujemy uruchomienie konkretnego pakietu szkoleniowego dla pracowników, który ten problem wyeliminuje.
Zbieranie zgód na przetwarzanie w każdym przypadku
W naszej praktyce często spotykamy się z sytuacją nadmiarowości w zakresie pozyskiwania zgód na przetwarzanie danych, w tym tych “na wszelki wypadek” (jest to przesłanka opisana w art. 6 ust. 1 lit._a RODO). W wielu sytuacjach, organizacja posiada inną podstawę do przetwarzania danych, np. z mocy przepisu prawa bądź zawartej z klientem umowy (odpowiednio art. 6 ust. 1 lit. c oraz b RODO).
Zupełnym absurdem jest formułowanie klauzuli typu “Wyrażam zgodę na przetwarzanie danych osobowych w związku z realizacją umowy”.
Zachęcamy do analizy procesów przetwarzania pod kątem weryfikacji zasadności pozyskiwania zgód od osób, których dane dotyczą. W wielu sytuacjach może to skrócić czas obsługi klienta poprzez ograniczenie formalności do uzasadnionego minimum.
Pamiętać należy także, że ze zgodą na przetwarzanie wiąże się także prawo do jej wycofania w każdym czasie, co mogłoby skomplikować sytuację Administratora przy niewłaściwie zorganizowanym procesie i błędnie wybranej przesłance przetwarzania. Co do zasady “po zgodę” powinniśmy sięgać w ostateczności, gdy nie mamy lub odrzucimy inne bezzasadne przesłanki.