Dzień 28 stycznia to Europejski Dzień Ochrony Danych Osobowych.
Z tej okazji UODO zapowiada, że wykorzysta tę datę do zwołania konferencji dotyczącej tematu RODO. Ale to tylko początek prezentów, bo Urząd przygotował dla nas, ludzi biznesu, plan kontroli sektorowych na 2019 rok, który może zmrozić krew w żyłach. Sprawdźmy więc, kto jako pierwszy został wytypowany, a w zasadzie jakie obszary działalności wylosowała maszyna losująca UODO.
Następuje zwolnienie blokady i… co my tu mamy: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym, informacje w BiP-ach i monitoring wizyjny z naciskiem na monitoring miejski. Instytucje publiczne wytypowane do kontroli to m.in.: policja, straż, sektor medyczny, przedszkola i szkoły. Jeśli w tym momencie właśnie odetchnąłeś z ulgą, to jednak radzę, wstrzymaj oddech ponownie, bo plan sektorowy Urzędu nie zapomniał również o biznesie. UODO zaplanował dla nas kontrole w kierunku przetwarzania danych osobowych zebranych w procesie rekrutacji oraz procesu zbierania danych za pomocą monitoringu przez przedsiębiorców. Kontrolujący sprawdzą także, jak prowadzone są rejestry czynności i jak dokumentowane są naruszenia i czy w ogóle są dokumentowane. Jestem przekonana, że w praktyce przełoży się to na skrupulatne sprawdzanie wszystkich możliwych aspektów przetwarzania danych.
Zatem drogi przedsiębiorco, nie stresuj się, zachowaj daleko idącą rozwagę i skończ z olewaniem RODO, jeśli do tej pory taką postawę reprezentowałeś w swoim biznesie. Zamknij oczy, policz do 10 i spójrz obiektywnie na swoją firmę. Zacznij odhaczać z chechlisty dotyczącej ochrony danych to, co już masz, to, co wydaje Ci się, że masz i to, czego nie masz na pewno. Dostaniesz wstępny obraz przygotowania Twojej firmy do RODO.
Od czasu wejścia w życie Rozporządzenia i konsekwencji jego implementacji na gruncie rzeczywistym mam sporo pracy. Prowadząc audyty zewnętrzne z całą pewnością jestem w stanie wyobrazić sobie stan ogólny, jaki prezentuje biznes i jednostki publiczne. Obserwuję mniej lub bardziej dostosowane organizacje i bez wątpienia mogę stwierdzić jedno – świadomość i dojrzałość do RODO powoli wzrasta, natomiast wciąż kuleje poprawne wdrożenie wytycznych i ciągle obserwuję nadinterpretację przepisów. Nadal spotykam się z nadmiarowością w zbieraniu zgód, zawieraniem umów powierzenia tam, gdzie nie są one konieczne, nieprzestrzeganiem zasady minimalizacji zbieranych danych osobowych, brak poprawnego obowiązku informacyjnego lub nieskuteczne jego komunikowanie. Dotyczy to również jakości klauzul zgód, nieumiejętnej realizacji praw osób fizycznych, których dane są przetwarzane, jak również błędów ludzkich, bo człowiek jest tradycyjnie najsłabszym ogniwem tego łańcucha.
Jeśli chcemy podejść do tematu spokojnie, ale skutecznie, musimy pamiętać o złotej zasadzie ciągłego monitorowania wdrożonych rozwiązań. Sama implementacja to wierzchołek góry lodowej. Kontrolerzy UODO nie będą sprawdzali tylko i wyłącznie, czy mamy odpowiednie Polityki, ale również, a może przede wszystkim, jakość naszego podejścia do analizy ryzyka. Analiza bowiem nie może być zrobiona bez identyfikacji poszczególnych procesów, ta z kolei w mojej ocenie nie może zostać poprawnie zrobiona, jeśli nie zaczniemy naszej pracy od określenia zakresu danych, jakimi dysponujemy i narzędzi, za pomocą których te dane przetwarzamy. Natomiast polityka bezpieczeństwa i pozostałe ewentualne instrukcje, procedury, upoważnienia, rejestry, klauzule informacyjne i zakresy zgód powinny być zwieńczeniem naszych działań. Bo jak możemy ocenić, w jakim zakresie zbieramy dane, na co potrzebujemy zgody, komu przekazujemy nasze dane i jakie środki techniczne i organizacyjne musimy wdrożyć, by zapewnić bezpieczeństwo przetwarzanym danym, jeśli nie będziemy wiedzieli jakimi zbiorami danych tak naprawdę dysponujemy i za pomocą jakich narzędzi je przetwarzamy? Nie da się tego zrobić, idąc od końca. A gdy już będziemy posiadali dane wyjściowe z analizy, będziemy potrafili oszacować środki techniczne, jakie zapewnią bezpieczeństwo przetwarzanym w naszej firmie zbiorom danych. Z uwagi na postęp technologiczny i fakt, że prawie każde dane osobowe przetwarzane są nie tylko papierowo, ale także za pomocą systemów informatycznych, musimy pomyśleć o skutecznym zabezpieczeniu także tego obszaru.
Więcej o tym, jak to zrobić i czy możemy wybierać pomiędzy backupem, kolokacją i wirtualizacją, czy może powinny one tworzyć jedną synchroniczną całość zabezpieczeń technicznych, przeczytacie w moim następnym artykule.