Według różnych szacunków nawet połowa organizacji w kraju nie poradziła z dostosowaniem do RODO. Oto przykłady popełnianych błędów.

Niewłaściwa analiza ryzyka

Dyrektywa RODO pozwala firmom dobierać rozwiązania do ochrony danych w oparciu o prawidłowo przeprowadzoną analizę ryzyka. Gdy została ona wykonana niewłaściwie, prawdopodobnie doprowadzi do błędnego zidentyfikowania zagrożenia, a w konsekwencji do złego zabezpieczenia danych.

Jak zauważa ODO24, normą stało się stosowanie prowizorycznych narzędzi do analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu związanego z nimi ryzyka i przez to jego nieuwzględnienie. Błędem jest także prowadzenie analizy w sposób wygodny dla administratora, tak by nie było potrzebne wiele działań czy wydatków.

Niedostosowanie systemu IT

Zgodnie z art. 32 RODO w oparciu o ustalenia analizy ryzyka organizacje przetwarzające dane osobowe muszą wdrożyć „odpowiednie” środki techniczne i organizacyjne.

Najwięcej wątpliwości może budzić konieczność zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Firmy nie wiedzą, jakie środki mają wdrożyć, by spełnić to oczekiwanie.

"Nawet dogłębne zapoznanie się z przepisami i poradnikami opublikowanymi przez prezesa UODO czy wytycznymi grupy roboczej art. 29, nie dają jednoznacznej odpowiedzi na pytanie" – zaznacza Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.

"Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji" – wskazuje Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24.

Kolejnym bardzo ważnym elementem jest dostosowanie infrastruktury do realizacji praw osób, których dane dotyczą.

Ignorowanie zewnętrznych podmiotów

Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych (np. gdy w ramach outsourcingu zajmują się nimi kontrahenci przedsiębiorstwa, np. w zakresie wsparcia IT, hostingu, księgowości). Inni z kolei masowo zawierają umowy powierzenia danych osobowych ze wszystkimi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły licząc, że w razie kontroli docenione zostanie ich, nawet błędne, podejście.  

Trzeba pamiętać, by weryfikować podmiot zewnętrzny w zakresie spełniania przez niego wymogów RODO. Jako administrator firma ma więc obowiązek upewnić się, czy zapewnia on odpowiednie środki techniczne i organizacyjne, gwarantujące zgodność przetwarzania danych z RODO. W praktyce jednak mało kto zaprząta sobie głowę taką weryfikacją.