~ Jerzy Figurski; SayF

Styczeń to okres podsumowań i zajmowania się audytem procedur funkcjonujących w firmie. Dlatego warto jest również pochylić się nad problemami związanymi z RODO.

Po okresie wielkiego szumu medialnego za sprawą wejścia w życie nowych przepisów dotyczących ochrony danych osobowych, w tym potencjalnych, wyjątkowo dotkliwych kar finansowych.  Z ówczesnych artykułów prasowych wynikało, że należy wykonać dokumentację bezpieczeństwa danych osobowych, a zagrożenie karami spada prawie do zera. Obecnie problematyka ODO przycichła, zdawałoby się, że przedsiębiorcy osiągnęli stan pełnego bezpieczeństwa. Tylko czy nie jest to bardzo złudna cisza, czy naprawdę temat umarł, czy samo opracowanie dokumentacji bezpieczeństwa ODO załatwiło problem?

Jak wynika z informacji zamieszczanych na stronie Prezesa Urzędu Ochrony Danych Osobowych problem nadal występuje, gdyż opracowanie dokumentacji bezpieczeństwa ODO jest bardzo istotnym, lecz zaledwie wyjściowym elementem systemu ochrony danych osobowych. Prawdziwym problemem jest realizacja procedur i zasad opisanych w dokumentacji.

Artykuł 33 RODO – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu.

Obowiązek zgłoszenia naruszenie ochrony danych osobowych jest stosunkowo dobrze opisany w prawie, Prezes Urzędu Ochrony Danych Osobowych opracował i upublicznił formularz interaktywny, zawierający wszystkie wymagane informacje opisane w ust. 3 art. 33 RODO. Zatem obowiązek nie powinien stwarzać żadnych problemów.

Nic bardziej mylnego, duża liczba firm w dalszym ciągu traktuje zgłoszenie naruszenia … jako formę samo przyznania się do naruszeń prawa i wystawienie się na karę, lub jako formę przyznania się do błędów działania własnej organizacji. Dodatkowo bardzo często przypadkowo wyznaczone osoby do pełnienia funkcji IOD nie są w stanie w sposób właściwy dokonać analizy zdarzenia pod kątem wypełnienia przesłanki uznania zdarzenia jako incydentu bezpieczeństwa.

W konsekwencji pomimo posiadania dobrze opracowanej dokumentacji, firmy rezygnują z wypełnienia tego obowiązku, a tym samym wystawiają się na karę przykładem tego może być kara (za brak zgłoszenia incydentu bezpieczeństwa polegającego na wysłaniu mailem umowy do innej osoby) blisko 90 tys. zł opublikowana na stronie UODO.

Z naszego wieloletniego doświadczenia w tym zakresie wynika, że zgłoszenie naruszenia bezpieczeństwa, jeśli jest to zdarzenie jednostkowe i losowe, Prezes Urzędu Ochrony Danych Osobowych nie wyciąga żadnych konsekwencji. Fakt zgłoszenia odnotowywany jest w prowadzanej przez Prezesa publicznie niedostępnej ewidencji. Zdarza się też, iż Prezes UODO zwraca się na piśmie o dodatkowe informacje lub zleca wprowadzenie zmiany lub uzupełnienia pisma do klienta i ewentualnie nakazuje zmianę formy doręczenia tego pisma klientowi.

Pamiętajmy zgłoszenie faktu naruszenia ochrony danych, po jego stwierdzeniu, wskazuje na właściwy poziom funkcjonowania nadzoru nad przetwarzaniem danych osobowych, świadczy o właściwym nadzorze i odpowiedniej wiedzy osób odpowiedzialnych w firmie za bezpieczeństwo. Jednocześnie jest to forma zabezpieczenia firmy przed ewentualnymi konsekwencjami.

Niemniej trzeba mieć na uwadze, iż najczęściej wraz ze zgłoszeniem do Prezesa UODO koniecznym jest wystosowanie stosownej informacji do klienta, na podstawie art. 34 RODO, którego incydent dotyczy.

Artykuł 28 RODO – Podmiot przetwarzający

Rozwijająca się technologia, dążenie do obniżenia kosztów funkcjonowania firmy czy też zwykły rachunek ekonomiczny coraz częściej zmusza przedsiębiorców do korzystania z usług podmiotów zewnętrznych. Dotyczyć to może prowadzenia CALL CENTER, HELP DESK, obsługi informatycznej firmowych systemów, hostingu powierzchni dyskowej czy też administrowania używanym w firmie oprogramowaniem, bazami danych. Jest to wymóg współczesności, który został zauważony przez ustawodawcę i opisany w art., 28 RODO.

Zewnętrzne podmioty gospodarcze mogą mieć dostęp do firmowych baz danych tylko po podpisaniu umowy powierzenia danych osobowych lub zawarcia stosownych zapisów w umowie biznesowej. Szczegółowy wykaz kwestii wymagających regulacji został opisany w ust. 3 art. 28 RODO.

Sam fakt zawarcia umowy (wpisania stosownych zapisów w umowie biznesowej) jest tylko elementem formalnym, ułatwiających obronę interesów firmy w sporach. Natomiast najważniejszym jest kwestia współpracy Administratora z podmiotem przetwarzającym w toku realizacji umowy biznesowej.

RODO przewiduje pełną współpracę Administratora i podmiotu przetwarzającego również w kwestii systemów bezpieczeństwa, a odpowiedzialność Administratora obejmuje również systemy podmiotu przetwarzającego, z tego też wynika uprawnienie do audytu prowadzonego przez Administratora u podmiotu przetwarzającego brak współpracy może skutkować poważnymi konsekwencjami, ostatnia kara nałożona (brak współpracy przy systemie zabezpieczenia danych) przez Prezesa UODO za brak takiej współpracy wynosiła prawie 1,1 mln. zł (https://uodo.gov.pl/decyzje/DKN.5130.1354.2020). W tak krótkiej wypowiedzi trudno omówić wszystkie obowiązki wynikające z RODO, rozważyć wszystkie przypadki dotyczące zabezpieczeń, audytów współpracy z podmiotami zewnętrznymi czy też nadzorem nad pracownikami, niemniej już ta krótka informacja wskazuje, że temat RODO cicho, lecz nabiera rozpędu.

~ Jerzy Figurski; SayF


Czytaj także:
BHP vs COVID-19
PRZYGOTUJ SIĘ