RODOszaleństwo. Raz jeszcze o bezpieczeństwie danych osobowych

Na temat ochrony danych osobowych, a w szczególności RODO, zostało już wiele powiedziane. Można powiedzieć, że przez pewien czas w Polsce panowało „RODOszaleństwo”. Z dniem wejścia w życie RODO, czyli 25 maja 2018 r., trudno było jeszcze przewidzieć jakie skutki ono za sobą pociągnie. Groźba milionowych kar za nieprzestrzeganie przepisów o ochronie danych osobowych przestraszyła przedsiębiorców. Wszyscy chcieli wdrażać postanowienia RODO do swoich firm, umieszczać regulaminy i polityki prywatności w sklepach internetowych, zamawiali potrzebną dokumentację, chodzili na szkolenia, uczyli się prowadzenia rejestru czynności przetwarzania.

Niestety, w tym wszystkim wydaje się, że zapomniano o zdrowym rozsądku i faktycznym przestrzeganiu przepisów o ochronie danych osobowych. Bardzo dobrze, że zainteresowano się ochroną danych osobowych, większą uwagę zaczęto zwracać na dane osobowe, jednak wprowadzenie dokumentacji, podpisanie kilku zgód i umów, wprowadzenie checkboxów nie załatwia sprawy.

Otaczająca nas rzeczywistość zmienia się jednak bardzo szybko, i prowadząc działalność gospodarczą należy być świadomym, że pewne rozwiązania wprowadzone jakiś czas temu mogą nie chronić już nas należycie. Trzeba mieć to na uwadze i regularnie monitorować.

Jeżeli firma wprowadziła rejestr czynności przetwarzania danych osobowych i wpisała do niego czynności, które podejmuje w stosunku do danych osobowych, powinna systematycznie analizować, czy nie pojawiają się kolejne czynności, które należałoby wprowadzić w tym rejestrze.

Jednak, jak już zostało powiedziane, sama dokumentacja to nie wszystko. Najważniejsze jest podejście do przestrzegania przepisów o ochronie danych osobowych. Należy systematycznie zwracać uwagę pracownikom, aby dbali o bezpieczeństwo danych osobowych. Cykliczne spotkania lub szkolenia są dobrym rozwiązaniem w firmie. Na każdym spotkaniu można poruszyć inne kwestie związane z ochroną danych osobowych. Będzie to także urozmaiceniem tematyki danych osobowych dla pracowników. Nie znużą się tematem. Chociaż należy pamiętać, że zbyt duża liczba komunikatów, szkoleń, ostrzeżeń może przynieść inny skutek niż zamierzano i np. znieczulić pracowników na bezpieczeństwo danych osobowych.

Pomimo wprowadzenia systemu zabezpieczeń w firmie, zawsze znajdzie się jakaś luka, która może spowodować szkody. Najczęściej jest to człowiek, który z reguły jest najsłabszym ogniwem każdego systemu. Pracodawca powinien mieć na względzie bezpieczeństwo firmy, w związku z czym musi przeprowadzać regularne szkolenia pracowników, a także weryfikować ich wiedzę na temat ochrony danych osobowych w firmie.

Dobrym rozwiązaniem na sprawdzenie, czy dane osobowe w naszych firmach są odpowiednio chronione, jest przeprowadzenie audytu danych osobowych.

Jeżeli audyt danych osobowych zostanie prawidłowo przeprowadzony, przedsiębiorca powinien otrzymać informacje jakie dane i w jaki sposób są przetwarzane u niego w przedsiębiorstwie. Może się okazać, że niektóre dane osobowe są nienależycie zabezpieczone i wtedy będzie trzeba podjąć odpowiednie kroki.

Audyt ma pokazać czy dane osobowe w przedsiębiorstwie są bezpieczne. Umożliwi także lepsze poznanie własnej firmy i jej ewentualnych mankamentów. Od jego wyników powinny zależeć następne kroki oraz działania. Może okazać się, że nie wszyscy pracownicy wiedzą w jaki sposób chronić dane osobowe klientów w firmie, albo że brakuje odpowiednich zgód i klauzul informacyjnych, które trzeba zdobyć. Taki audyt bezpieczeństwa danych osobowych powinien być przeprowadzany regularnie, tak aby mieć pewność, że dane osobowe w firmie są zabezpieczone.

Wdrożenie RODO nie polega jedynie na zorganizowaniu kilku dokumentów i podpisaniu umów z tzw. procesorami. Trzeba podejść do tego od praktycznej strony i zadbać, aby dane osobowe w firmie były odpowiednio zabezpieczone.

Milionowa kara, która została nałożona w ostatnim czasie przez Prezesa Urzędu Ochrony Danych Osobowych uświadamia nas, że najważniejsze powinno być bezpieczeństwo danych osobowych. Sam fakt, że ktoś podpisze zgodę na przetwarzanie danych osobowych lub dysponowanie odpowiednią umową, samo przez się nie świadczy o tym, że dane osobowe są w danej firmie odpowiednio chronione.