Błędy popełniane przy RODO
Wdrożenia w celu spełnienia wymagań RODO nie zawsze rozwiązują problemy – wynika z analizy.
Według różnych szacunków nawet połowa organizacji w kraju nie poradziła z dostosowaniem do RODO. Oto przykłady popełnianych błędów.
Niewłaściwa analiza ryzyka
Dyrektywa RODO pozwala firmom dobierać rozwiązania do ochrony danych w oparciu o prawidłowo przeprowadzoną analizę ryzyka. Gdy została ona wykonana niewłaściwie, prawdopodobnie doprowadzi do błędnego zidentyfikowania zagrożenia, a w konsekwencji do złego zabezpieczenia danych.
Jak zauważa ODO24, normą stało się stosowanie prowizorycznych narzędzi do analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu związanego z nimi ryzyka i przez to jego nieuwzględnienie. Błędem jest także prowadzenie analizy w sposób wygodny dla administratora, tak by nie było potrzebne wiele działań czy wydatków.
Niedostosowanie systemu IT
Zgodnie z art. 32 RODO w oparciu o ustalenia analizy ryzyka organizacje przetwarzające dane osobowe muszą wdrożyć „odpowiednie” środki techniczne i organizacyjne.
Najwięcej wątpliwości może budzić konieczność zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Firmy nie wiedzą, jakie środki mają wdrożyć, by spełnić to oczekiwanie.
"Nawet dogłębne zapoznanie się z przepisami i poradnikami opublikowanymi przez prezesa UODO czy wytycznymi grupy roboczej art. 29, nie dają jednoznacznej odpowiedzi na pytanie" – zaznacza Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
"Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji" – wskazuje Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24.
Kolejnym bardzo ważnym elementem jest dostosowanie infrastruktury do realizacji praw osób, których dane dotyczą.
Ignorowanie zewnętrznych podmiotów
Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych (np. gdy w ramach outsourcingu zajmują się nimi kontrahenci przedsiębiorstwa, np. w zakresie wsparcia IT, hostingu, księgowości). Inni z kolei masowo zawierają umowy powierzenia danych osobowych ze wszystkimi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły licząc, że w razie kontroli docenione zostanie ich, nawet błędne, podejście.
Trzeba pamiętać, by weryfikować podmiot zewnętrzny w zakresie spełniania przez niego wymogów RODO. Jako administrator firma ma więc obowiązek upewnić się, czy zapewnia on odpowiednie środki techniczne i organizacyjne, gwarantujące zgodność przetwarzania danych z RODO. W praktyce jednak mało kto zaprząta sobie głowę taką weryfikacją.
Podobne aktualności
6 najczęstszych naruszeń ochrony danych w Polsce
Oto powszechne błędy naruszające przepisy ochrony danych i sposoby, jak ograniczyć problem.
Będzie pierwszy w Polsce więzień za RODO? Prezesowi grożą 2 lata
Szefowi spółki grozi więzienie za uniemożliwienie przeprowadzenia kontroli UODO. Prokurator już wysłał do sądu akt oskarżenia.
UODO wszczęło postępowanie wobec SGGW
Wraca głośna sprawa skradzionego laptopa, pełnego danych o kandydatach na studia na warszawskiej uczelni.