1 tydzień temu
Dbanie o bezpieczeństwo danych osobowych – o ich przetwarzanie oraz przechowywanie – jest dla każdej firmy bardzo ważnym aspektem działań. Przestrzeganie RODO przestaje być powoli tzw. „kulą u nogi” dla firm, a staje się coraz bardziej świadomym działaniem, które nie tylko wzmacnia stabilność i bezpieczeństwo Twojego przedsiębiorstwa, ale także buduje markę firmy i zaufanie u klientów. Z pewnością również i Ty masz tego świadomość, dlatego podejmujesz w swojej firmie stosowne kroki, aby zadbać o tę stronę wdrożenia compliance.
Często zdarza się jednak tak, iż mimo najszczerszych chęci postępowania zgodnie z RODO, dochodzi do złamania jego zasad z powodu zaniedbania lub po prostu niewiedzy. Przyjrzyjmy się 7 przykładom popełnianych błędów w firmie.
1. Przeprowadzenie analizy ryzyka w sposób niedostateczny lub jej całkowity brak
Obowiązek przeprowadzenia analizy ryzyka wyznacza art. 32 ust. 1 RODO, w którym mowa jest o uwzględnieniu, przez administratora i podmiot przetwarzający, stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Wszystkie te aspekty mają służyć wdrożeniu odpowiednich środki technicznych i organizacyjnych.
Stanowczym błędem będzie zupełny brak przeprowadzenia analizy ryzyka, czego chyba nie trzeba choćby komentować. Błędem, który również zostanie uwzględniony na niekorzyść administratora w wypadku kontroli lub pojawienia się incydentu naruszenia danych osobowych, będzie także niedbała analiza. Może ona doprowadzić do np. braku zastosowania pseudonomizacji przetworzonych danych. Brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych może również doprowadzić do sytuacji, kiedy posiadasz odpowiednie zabezpieczenia, ale okażą się one nieaktualne lub przestarzałe. Brak współpracy z inspektorem ochrony danych osobowych podczas przeprowadzania analizy, także stanowi błąd, jaki może skutkować nieskutecznym procesem analizy. Przeprowadzenie nieszczegółowej identyfikacji procesów przetwarzania danych osobowych również jest teoretycznie niewielkim, ale stanowczym błędem podczas analizy ryzyka.
2. Brak odpowiedniego przeszkolenia pracowników
Wcale nie cyberataki z zewnątrz, ale właśnie źródło wewnętrzne stanowi najczęstszą przyczynę naruszenia danych osobowych w firmie – co więcej takie naruszenie jest w znacznej mierze przypadkowe, nieświadome lub po prostu wynika z niewiedzy pracownika względem zachowania procedur ochrony danych osobowych.
Musisz pamiętać, iż do zadań administratora należy wdrożenie odpowiednich środków technicznych oraz organizacyjnych (art. 24 ust. 1 RODO), a do tych drugich zalicza się właśnie organizacja szkoleń. Odpowiednio zorganizowane i przeprowadzone szkolenie może w praktyce zapobiec wielu incydentom z zakresu ochrony danych osobowych. Szkolenie stanowi dobre forum do dyskusji i wymiany doświadczeń, a także pozwala na ujednolicenie sposobu postępowania z zakresu ochrony danych osobowych w firmie. Dobre szkolenie uwzględnia także elementy, które są istotne dla danej firmy lub konkretnego działu- przykładowo, inny zakres szkolenia będzie prowadzony dla działu HR, a nieco inny dla działu marketingu. Co ważne, pytanie o szkolenia jest także często jednym z pytań, które pojawia się w ankietach bezpieczeństwa przesyłanych przez kontrahentów przed lub w trakcie nawiązania współpracy- staje się wobec tego nie tylko wymogiem prawnym, ale także umownym.
3. Brak zaktualizowania polityki prywatności
Błędem, który łatwo popełnić, jest niezaktualizowanie polityki prywatności w wypadku, kiedy wprowadzimy na stronie internetowej nowe narzędzia lub w firmie podejmujemy nowe działania, jak np. zastosowanie nowego narzędzia analitycznego, czy wprowadzenie nowego rodzaju formularzy na stronie.
Wszelkie działania, które mają wpływ na przetwarzanie danych musi wiązać się z odpowiednią klauzulą informacyjną, która musi zostać zawarta w polityce prywatności. Polityka prywatności powinna bowiem zawierać kompleksową informację na temat przetwarzania przez firmę danych osobowych.
4. Błędnie określone podstawy przetwarzania danych osobowych
Elementem, który uwzględniamy w naszych klauzulach informacyjnych, w tym w polityce prywatności, jest podstawa prawna przetwarzania danych osobowych. Aby przetwarzanie danych było w ogóle zgodne z prawem, konieczne jest określenie jego podstawy prawnej, co należy do obowiązków administratora, jednak nie zawsze wybór odpowiedniej podstawy jest oczywisty. Przykładowo, w przypadku działań marketingowych niejednokrotnie dochodzi do dylematu pomiędzy wyborem uzasadnionego interesu administratora, a zgody osoby, której dane dotyczą. W Polsce przepisy wymuszają na nas stosowanie zgody, jednak na podstawie RODO stosowanie podstawy uzasadnionego interesu jest dopuszczalne. Wybór odpowiedniej podstawy w tym zakresie wymaga dokładnej analizy konkretnej sytuacji i ustalenia na podstawie tzw. testu równowagi, czy stosowanie uzasadnionego interesu jest dopuszczalne.
Innym przykładem, gdzie zdarzają się błędy są działania rekrutacyjne w firmie. Przy prowadzeniu rekrutacji przez firmy może dojść do nieprawidłowego wyznaczenia podstawy przetwarzania danych kandydatów. Nie zawsze będzie poprawne zbieranie zgody, choć do dzisiaj pokutuje przekonanie, iż to właśnie zgoda jest najwłaściwszą podstawą do przetwarzania danych osobowych. Tymczasem, w wielu przypadkach przetwarzanie danych w celach rekrutacyjnych powinno opierać się na niezbędności do wykonania umowy, czyli art. 6 ust.1 lit. b, a zgodę zbieramy dopiero wtedy, gdy będziemy chcieli przetwarzać dane osobowe kandydata w celu udziału w kolejnych rekrutacjach.
Korzystasz z hostingu/SaaS bez DPA? Zobacz, co musi zawierać umowa powierzenia i gdzie czyha współodpowiedzialność
5. Nieświadomość obowiązku posiadania IOD-a
W momencie, kiedy Twoje przedsiębiorstwo rozrośnie się, może nieświadomie umknąć Ci fakt, iż należysz do grupy, do której obowiązków art. 37 RODO zalicza posiadanie inspektora ochrony danych osobowych. Dzieje się tak, gdy główną działalnością administratora lub podmiotu przetwarzania są operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub też kiedy jest nią przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (z art. 9 RODO) albo danych, które dotyczą wyroków skazujących i czynów zabronionych (z art. 10 RODO).
6. Brak standardowych klauzul umownych przy transferze danych do państw trzecich
Częstym błędem przy transferze danych do państw trzecich jest brak zawarcia standardowych klauzul umownych, czyli narzędzia, które służy do zapewnienia bezpieczeństwa transferowanym danym osobowym. Wielu przedsiębiorców może popełniać nieświadomy błąd braku klauzul umownych w sytuacji nie tak oczywistej – kiedy to firma z kraju trzeciego zwraca się do naszego przedsiębiorstwa w Polsce i zleca nam świadczenie usług jako podmiotowi przetwarzającemu. Można by sądzić, iż skoro to nie my jesteśmy administratorem, a co więcej jest nim firma z kraju trzeciego, to mówiąc wprost – troska o zabezpieczenie danych nie będzie naszym problemem. Zapominamy jednak o fakcie, iż przy takiej umowie dane od nas będą wracać z powrotem do administratora i wtedy konieczne jest z naszej strony zawarcie standardowych klauzul umownych. Przedstawiając to na przykładzie, który wcale nie odnosi się do tak rzadkiej sytuacji – naszej firmie zostaje zlecona obsługa HR-owa przez firmę w USA i po wyliczeniu wynagrodzenia przesyłamy dane z powrotem do Stanów Zjednoczonych, co wiąże się właśnie z obowiązkiem zabezpieczenia przez nas przesyłanych danych.
7. Błędna reakcja na naruszenie danych osobowych w firmie
Do najczęstszych błędów, które wcale nie zostają popełnione świadomie, przy zgłaszaniu naruszenia danych osobowych można zaliczyć:
- całkowity brak lub niedostatecznie przeprowadzona dokumentacja okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych;
- brak powiadomienia osób, których dane dotyczą o możliwym naruszeniu ich danych osobowych;
- błędnie wyliczone 72 godziny, podczas których należy zgłosić naruszenie do organu nadzorczego – liczymy nie od momentu zajścia incydentu, ale od chwili jego stwierdzonego wykrycia przez administratora.
Pamiętajmy, iż prawidłowa reakcja na naruszenie ochrony danych osobowych w firmie może uchronić nas przed poważnymi konsekwencjami – dlatego warto zadbać o odpowiednie procedury w tym zakresie oraz ich praktyczną znajomość przez pracowników
Brak procedury reagowania to błąd, który mnoży koszty. Tu krok po kroku: identyfikacja, dokumentacja, zgłoszenie i komunikacja
