2019-03-26
25 maja 2019 r. będzie miała miejsce pierwsza rocznica wejścia w życie RODO – rozporządzenia dotyczącego ochrony danych osobowych w państwach Unii Europejskiej. Pierwszy rok obowiązywania przepisów był bardzo burzliwy i oznaczał konieczność dostosowania procedur obowiązujących w przedsiębiorstwach do nowych wymogów prawnych. Wdrożenie RODO to jednak nie wszystko.
Przepisy RODO nakładają na przedsiębiorców nie tylko obowiązek wdrożenia zasad ochrony danych, reagowania na incydenty, rejestracji czynności przetwarzania czy informowania i realizowania żądań podmiotów danych. Wymagają one również, by rozwiązania chroniące dane osobowe były na bieżąco poddawane przeglądom i aktualizowane. Zgodnie bowiem z art. 24 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Postęp technologiczny, zmiany struktury organizacyjnej czy zakresu działalności przedsiębiorstwa wymagają więc każdorazowej analizy pod kątem ryzyk związanych z przetwarzaniem danych osobowych i ich minimalizacji. Nie zawsze jednak, w natłoku codziennej pracy, jesteśmy w stanie przeprowadzić ten proces całościowo i rzetelnie. Stąd rekomendowane jest przeprowadzenie cyklicznego, minimum corocznego, przeglądu zasad ochrony danych osobowych.
Obejmować on powinien w szczególności:
• przegląd nadanych upoważnień do przetwarzania danych, oświadczeń o zachowaniu poufności oraz ewidencji osób upoważnionych;
• weryfikację postępowania w zakresie danych otrzymanych podczas rekrutacji;
• przegląd i uaktualnienie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania;
• analizę incydentów i naruszeń w badanym okresie;
• analizę sposobu i zakresu wypełniania obowiązków informacyjnych;
• analizę zakresu danych podlegających retencji i wybór narzędzi w tym zakresie – kasowania lub anonimizacji;
• weryfikację umów powierzenia przetwarzania danych osobowych;
• przegląd stosowanych zabezpieczeń teleinformatycznych, fizycznych i organizacyjnych;
• przeprowadzenie działań informacyjnych wśród pracowników, w tym okresowych szkoleń z zakresu ochrony danych osobowych.
Oczywiście szczegółowy zakres takiego przeglądu powinien zostać dopasowany do profilu i wielkości przedsiębiorstwa oraz branży w której działa. Rocznica wejścia w życie RODO to dobry moment na to, by przeprowadzić wewnętrzny lub zewnętrzny audyt związanych z ochroną danych osobowych. W 2019 roku intensywnie ruszą bowiem kontrole ze strony Prezesa Urzędu Ochrony Danych Osobowych. Według zapowiedzi tego organu nadzorczego, kontrole będą dotyczyły zwłaszcza przedsiębiorców stosujących monitoring wizyjny, marketing (w tym telemarketing) i profilowanie oraz brokerów danych (w tym ubezpieczeniowych), szkół, banków, ubezpieczycieli czy podmiotów świadczących usługi zdrowotne bądź zajmujących się gospodarką odpadami. Wszyscy przedsiębiorcy mogą się ponadto spodziewać urzędowej weryfikacji prawidłowości zamieszczania danych w wymaganych rejestrach i przetwarzania danych osobowych pracowników (w tym w zakresie monitoringu wizyjnego i monitoringu poczty elektronicznej).
Przeprowadzenie audytu pomoże przedsiębiorcom przygotować się do kontroli oraz zapewnić, że przetwarzanie danych osobowych odbywa się w sposób zgodny z wymogami wynikającymi z przepisów prawa. Minimalizuje także ryzyka związane z potencjalnymi sankcjami za nieprzestrzeganie przepisów RODO. Profesjonalnie przeprowadzony audyt, połączony ze szkoleniem dla pracowników daje gwarancje, że przetwarzanie danych osobowych spełnia zasady wynikające z art. 5 RODO oraz jest dostosowane do pojawiających się na bieżąco wytycznych, poradników i interpretacji wydawanych przez Prezesa UODO czy Ministerstwo Cyfryzacji.
Artykuł ukazał się w internetowym serwisie dziennika „Rzeczpospolita” w dniu 26-03-2019 r.