Nie ulega wątpliwości, że rok 2018 upłynął pod znakiem RODO. Wiele się na ten temat mówiło i pisało. Przez rynek przeszła fala związana z dostosowaniem się do nowych regulacji. Ale to nie oznacza, że temat należy uznać za zakończony. Prezes Urzędu Ochrony Danych Osobowych mówi w tym roku po raz pierwszy ”sprawdzam”. Co mogło pójść nie tak i gdzie nadal wiele firm ma trudności?
Nie ma pełnej ochrony bez znajomości zagrożeń
Najbardziej widocznym znakiem zmian, była realizacja obowiązku informacyjnego. Zmieniały się klauzule na stronach, polityki prywatności i stopki maili. W maju zeszłego roku firmy masowo wysyłały maile dotyczące zgody na dalsze przetwarzanie danych osobowych na potrzeby newsletterów i działań marketingowych. Przy tak dużym zakresie zmian, które musiały wdrożyć firmy łatwo można zapomnieć, że całościowe podejście do RODO wymaga zweryfikowania lub wdrożenia w firmie systemu zarządzania bezpieczeństwem danych osobowych. Samo dostosowanie zapisów w dokumentach czy polityce bezpieczeństwa jest niewystarczające, żeby mówić o pełnej zgodności.
Firmy, które działają w oparciu o standardy ISO mają świadomość jak funkcjonuje system bezpieczeństwa. Punktem wyjścia dla zapewnienia odpowiedniego poziomu ochrony musi być prześledzenie wszystkich procesów przetwarzania dokonywanych w firmie i zidentyfikowanie występujących w nich błędów lub braków. Tylko w ten sposób można rzetelnie ustalić i ocenić jakie niebezpieczeństwa są związane z poszczególnymi czynnościami przetwarzania i jak należy się przed nimi bronić. Dopiero ta wiedza pozwala wypełnić obowiązki, jakie RODO nakłada na administratora danych, to znaczy zastosować odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych. Jeżeli nie wiemy przed czym się zabezpieczamy, trudno mówić o skuteczności naszych działań. Dlatego analiza ryzyka, związanego z przetwarzaniem danych osobowych powinna być punktem wyjścia dla zmian wprowadzanych w dokumentach i procedurach.
Po co nam system IT zgodny z RODO?
Z uwagi na digitalizację pracy, przetwarzanie danych odbywa się w coraz większej ilości obszarów z wykorzystaniem systemów i programów informatycznych. Ich właściwa ochrona to już nie tylko antywirus czy hasło do logowania. Największym problemem jest organizacja sposobu korzystania z nich, żeby nie naruszać wymogów w zakresie ochrony danych osobowych. Z jednej strony chodzi o to, ile danych trafia do systemu. Jesteśmy ciągle przyzwyczajeni do tego, żeby zbierać więcej materiałów niż rzeczywiście potrzebujemy. Tak na wszelki wypadek. Takie działanie narusza jedną z fundamentalnych zasad RODO, to znaczy zasadę minimalizacji danych.
Dlatego ochrona danych osobowych w systemach i programach to nie tyko bezpieczeństwo techniczne. To również prywatność wymuszana przez system automatycznie, przez odpowiednio skonfigurowane poziomy dostępu oraz właściwe funkcjonalności. Jak te, które pozwalają szybko ustalić na jakiej podstawie przetwarzane są dane i do kiedy możemy z nimi pracować. Z drugiej strony osoby, których dane dotyczą mają określone prawa, które pozwalają im na żądanie informacji o tym co i jak robimy z ich danymi. Dlatego równie ważne są te opcje systemów, które pozwalają realizować prawa osób, których dane dotyczą i właściwie je dokumentować.
Tańsze jest ciągle wrogiem dobrego
Jeszcze nie wszystkie firmy w sposób właściwy przeprowadziły analizę ryzyka niezbędną do pełnego wdrożenia zmian. Częściowo wynika to z braku doświadczenia, często jednak również z oszczędności. W 2018 r. niedobór specjalistów na rynku i wprowadzanie zmian na ostatnią chwilę powodowało, że dostosowanie firmy do RODO mogło wiązać się z bardzo dużymi wydatkami. Można powiedzieć, że gorący okres mamy już za sobą, jednak czy firmy wiedzą już według jakich kryteriów wybrać doradców?
Pakiet dokumentów zgodnych z RODO można zakupić przez Internet już za kilkaset złotych. Podejście oszczędnościowe w przypadku ochrony danych osobowych z pewnością się jednak nie sprawdzi. Dobrze widać to na podstawie zeszłorocznych doświadczeń. Nie każdy potrzebuje rozwiązania w całości szytego na miarę – to zależy przede wszystkim od tego, jak skomplikowane są w jego firmie procesy przetwarzania danych i jak dużo takich danych przetwarza. Nie można jednak zapominać, że polityki czy procedury muszą funkcjonować w praktyce. Skoro środki ochrony danych osobowych stosowane przez przedsiębiorców muszą być odpowiednio dostosowane do prowadzonej przez nich działalności, nie można przyjąć, że istnieje jakiś magiczny, uniwersalny standard, który bez dalszego dostosowania będzie spełniał wynikające z RODO wymogi. Kluczowe powinno być doświadczenie i dobra znajomość specyfiki prowadzonej przez firmę działalności, ponieważ przekłada się to na zakres i jakość oferowanych usług. Wiele firm w zeszłym roku boleśnie się przekonało, że tanie rozwiązania są często niewystarczającej jakości lub o prostu nie odpowiadają ich potrzebom.
Nadchodzi czas kontroli
W tym roku Urząd Ochrony Danych Osobowych opublikował już plany kontroli sektorowych. Oznacza to, że jasno mówi „sprawdzam”. W pierwszej kolejności będzie weryfikował procesy rekrutacji, monitoring wizyjny (przede wszystkim w miejscu pracy i publiczny) czy telemarketing. Nie każda firma będzie objęta kontrolą, jednak przy tej okazji warto jest zadać sobie pytanie jak funkcjonuje w mojej firmie ochrona danych osobowych – przetwarzanie danych wykracza przecież poza dział personalny czy marketingu. Jeżeli na myśl o ewentualnej kontroli nie można spać spokojnie to znaczy, że są jeszcze obszary, które nie funkcjonują w pełni w zgodzie z przepisami.
Wyciek danych osobowych w firmie – kiedy samo zawiadomienie Prezesa UODO nie wystarczy?