25 maja br. to doskonała okazja do podsumowania kilku kwestii. Dlaczego?
Właśnie w tym dniu mija równe 7 lat od chwili, w której oficjalnie rozpoczęto stosowanie w porządkach prawnych krajów UE rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej: „RODO”.
Wspomniane 7 lat to także czas, w którym CompNet towarzyszy Państwu w pokonywaniu wyzwań związanych z prawidłowym wdrożeniem i stosowaniem RODO w Państwa organizacjach. Bogate doświadczenie naszych ekspertów zdobyte w czasie dziesiątek spotkań, przeanalizowanych spraw, przeprowadzonych audytów, pozwala dzisiaj świadczyć Państwu szeroki wachlarz usług na najwyższym poziomie – wciąż rozbudowywanych i udoskonalanych. Czego zatem możemy sobie życzyć na kolejne lata związane ze stosowaniem RODO?
Oto 7 wskazówek, które przygotowaliśmy dla Państwa jako administratorów danych:
-
Lepiej zapobiegać niż leczyć
Mając obowiązek stosowania RODO, administrator danych nie powinien czekać na to, że wymagane procedury „spadną z nieba”. Oczywiście, nic nie stoi na przeszkodzie, aby organizacja samodzielnie wdrożyła wymagane procedury i polityki, niemniej warto mieć świadomość, że przepisy prawa, w tym dotyczące ochrony danych osobowych, nie zawsze są oczywiste. Proces należytego wyinterpretowania i stosowania przepisów jest często żmudny i czasochłonny. Wymaga wiedzy, doświadczenia i bieżącego śledzenia wprowadzanych zmian w prawie. Stąd proponujemy, aby zaufali Państwo ekspertom z CompNet, którzy przeprowadzą Państwa kompleksowo przez wszystkie niezbędne działania, krok po kroku. W naszej ofercie znajdą Państwo takie usługi jak wdrożenie RODO, audyt ochrony danych osobowych, audyt bezpieczeństwa sieci, audyt Krajowych Ram Interoperacyjności, audyt oprogramowania, szkolenia. Skorzystanie z naszej pomocy to nie gwarancja bezbłędności, bo nie obiecujemy rzeczy niemożliwych, ale raczej gwarancja merytorycznego i zarazem profesjonalnego minimalizowania błędów, których zaistnienie, w zależności od skali i wagi, może wiązać się dla administratora z różnymi konsekwencjami – począwszy od incydentu, a kończąc na naruszeniu ochrony danych podlegającemu zgłoszeniu do organu nadzorczego i ewentualnym nałożeniu administracyjnej kary pieniężnej na administratora. -
RODO to proces, nie zbiór sztywnych przepisów
Pamiętać należy, że stosowanie RODO to nieustanny proces podlegający rozwojowi, testowaniu i monitorowaniu. Administrator nie może poprzestać na wdrożeniu dokumentacji jako kolejnej martwej litery, z której nic nie wynika i której nikt faktycznie nie stosuje. Obowiązujące u administratora procedury muszą być faktycznie stosowane i co ważne – regularnie udoskonalane. W przeciwnym razie, wszelkie starania administratora w tym zakresie należy uznać za bezcelowe, a jego sytuację można porównać do podmiotu, który nie wdrożył żadnych procedur. Jest to tym samym szerokie pole do wszelkiego rodzaju nadużyć w materii ochrony danych w postaci incydentów czy naruszeń i zarazem sygnał, że administrator jest bardziej podatny na wystąpienie negatywnych skutków zagrożeń związanych z ochroną danych osobowych, np. kradzież danych, zaszyfrowanie danych (atak ransomware) itp. -
Inwestuj w siebie i swoich pracowników – szkol się
W CompNet wiemy, że bez nieustannego dążenia do rozwoju i poszerzania swojej wiedzy za wiele byśmy nie osiągnęli. Obowiązująca w naszej organizacji kultura pracy sprawia, że wciąż stawiamy sobie wyzwania, zmierzając przy tym do jak najwyższego poziomu świadczonych przez nas usług. Stąd zachęcamy Państwa, aby nie szczędzić sił w regularne inwestowanie w szkolenia dla Państwa pracowników. Wiele z zaistniałych incydentów, czy też naruszeń miało swoje źródło w błędzie ludzkim – umyślnym albo nieumyślnym. Nie zmienia to faktu, że gdyby każdy z podmiotów zadbał o należyte przeszkolenie swoich pracowników i regularne odświeżanie tej wiedzy, pewnych powtarzalnych incydentów czy naruszeń byłoby zapewne o wiele mniej. A przecież do tego dążymy – aby minimalizować zaistnienie błędów. CompNet w swojej ofercie może zaproponować Państwu realizację wielu szkoleń, w zależności od Państwa potrzeb. -
Naruszenie to nie koniec świata
Naruszenie to słowo, które prawie zawsze wzbudza poruszenie, a nawet czasami lęk po stronie odpowiedzialnych pracowników administratora. Otrzymaliśmy zgłoszenie, dane osobowe trafiły do nieuprawnionego podmiotu, co robimy dalej? I tu z pomocą przychodzi CompNet, a właściwie opracowana przez naszych ekspertów procedura, w której krok po kroku uregulowane zostały działania, jakie administrator ma obowiązek podjąć w przypadku naruszenia. Dodatkowo, do Państwa usług oddelegowany jest IOD lub jego zastępca, którzy swoją wiedzą i doświadczeniem, postarają się, aby naruszenie wywołało jak niemniejsze skutki dla osób, których dane dotyczą, jak i samego administratora (koszty finansowe, wizerunkowe itd.). Ktoś zapyta – po co to wszystko? Dlaczego naruszenia są tak ważne? Otóż ma to znaczenie dla praw lub wolności osób fizycznych, których dane dotyczą – na fakt zaistnienia ewentualnej szkody dla tych osób, ale przede wszystkim dla ogólnego bezpieczeństwa takich osób. Jest to także impuls dla administratora do podnoszenia standardów bezpieczeństwa, zwiększenia odpowiedzialności, zapewnienia przejrzystości działań. Dzięki naruszeniom możemy pośrednio dostrzec u administratora obszary, które w zakresie stosowania RODO wymaga jeszcze udoskonalenia, a w przypadku systemów informatycznych – stosowania lepszych zabezpieczeń, co w ostatecznym rozrachunku zmierza do zminimalizowania ryzyko wystąpienia naruszenia do możliwie najmniejszego stopnia. -
PUODO „nie gryzie”
Organem nadzorczym w Polsce, czuwającym nad przestrzeganiem przepisów ochrony danych, jak i wydającym interpretacje w tym zakresie, jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). To właśnie do niego należy zgłaszać wszelkie naruszenia ochrony danych, których wystąpienie wiąże się z wysokim ryzkiem naruszenia praw i wolności osób, których dane dotyczą. Wszystko po to, aby administratorzy nie bagatelizowali faktu występowania naruszeń i byli świadomi negatywnych skutków, z jakimi może wiązać się wystąpienie naruszenia ochrony danych osobowych. Często jednak administratorzy wolą wybrać inną drogę – nie zgłaszają zaistniałych naruszeń, sprowadzając ich rangę do wewnętrznych incydentów, niewpływających w żaden sposób na sytuację osób, których dane dotyczą lub wykazują marginalne znaczenie dla tychże osób. Jest to nieprawidłowa praktyka, która prawie zawsze kończy się wydaniem decyzji o nałożeniu przez Prezesa UODO administracyjnej kary pieniężnej do 100 000 zł w sektorze publicznym, a w sektorze prywatnym nawet do 20 mln euro włącznie. Równie ciężkim przewinieniem w ocenie Prezesa UODO jest brak podejmowania współpracy z Urzędem w ramach postępowania wyjaśniającego naruszenie. Takie zachowanie administratora traktowane jest na równi z brakiem zgłoszenia i może skutkować nałożeniem administracyjnej kary pieniężnej, o czym przekonało się już kilka podmiotów na kanwie decyzji administracyjnych Prezesa UODO, link: (https://bip.uodo.gov.pl/pl/138/2794). Jaki z tego wniosek? Lepiej współpracować niż walczyć z Urzędem. IOD – Twój przyjaciel, nie wróg
Często spotykamy się ze stwierdzeniem, że IOD to taki typowy inspektor – sprawdza, punktuje, rozlicza, domaga się realizacji zaleceń. Kolejny człowiek z kontroli, który uprzykrza życie. Nic bardziej mylnego – IOD to ekspert służący Państwu pomocą, wiedzą, doświadczeniem, osoba czuwająca nad prowadzeniem dokumentacji, jej aktualnością, skutecznością procedur przewidzianych w politykach, dostarczająca aktualnej wiedzy na temat ochrony danych osobowych. Jest to doradca w pełnym tego słowa znaczeniu, aby w jak najwyższym stopniu zabezpieczyć Państwa organizację przed niezgodnościami z obowiązującymi przepisami i uchronić przed negatywnymi konsekwencjami zaniedbań w zakresie zabezpieczeń ochrony danych osobowych. To także rola szkoleniowca i budowania świadomości, przypominania podstawowej wiedzy z zakresu ochrony danych osobowych. Zatem, jaka jest nasza rada – współpracujmy z IOD, bo IOD od tego jest i basta 🙂Bądź czujny, nie zwlekaj ze zgłaszaniem niepokojących zdarzeń
Pamiętajmy, że w przypadku wystąpienia naruszenia ochrony danych administrator ma 72 h na dokonanie zgłoszenia naruszenia od chwili jego stwierdzenia. Jest to termin wynikający wprost z RODO i nie podlega on wydłużeniu. Dlatego nie zwlekajmy do ostatniej chwili z powiadamianiem IOD o zaistniałym zdarzeniu, nawet jeśli na pierwszy rzut oka wydaje się niekoniecznie groźnym wydarzeniem. Warto zawsze przy tego typu sytuacjach zakładać najdalej idący scenariusz, czyli wystąpienie naruszenia ochrony danych skutkujące zgłoszeniem do Prezesa UODO. Im szybciej informacja trafi do naszych ekspertów, tym większe szanse na należytą oceną wagi naruszenia i profesjonalne zadziałanie w sprawie. Czas w tym zakresie ma nieocenione znaczenie.
W CompNet jesteśmy po to, by Ci pomóc zadbać o bezpieczeństwo danych w Twojej organizacji.
Nie tylko doradzamy, ale pełnimy funkcję IOD, przeprowadzamy audyty, analizujemy ryzyko, szkolimy, wykrywamy luki w zabezpieczeniach i pomagamy je uszczelnić – kompleksowo, z doświadczeniem i zdrowym rozsądkiem.
Masz pytania? Szukasz wsparcia? Potrzebujesz sprawdzić, czy Twoja organizacja naprawdę działa zgodnie z RODO?
Wejdź na www.comp-net.pl, napisz lub zadzwoń.
Autor: Michał Małas | Ekspert ds. ochrony danych osobowych w CompNet sp. z o. o.