RODO: Czy można przygotować się do kontroli na ostatni moment?

Zgodnie z art. 78 Ustawy o ochronie danych osobowych z dn. 10. Maja 2018, Prezes Urzędu Ochrony Danych Osobowych przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych, która powinna być zapowiedziana wcześniej. Ustawodawca nie określił jednak minimalnego terminu z jakim powiadomienie to powinno być przekazane jednostce objętej kontrolą. Oznacza to w praktyce, że doręczenie zawiadomienia w momencie jej rozpoczęcia spełnia warunki formalne określone w przepisach.

Zgodnie z publikacją firmy PWC ponad 50% przedsiębiorstw nie poradziła sobie z pełnym wdrożeniem przepisów ochrony danych osobowych. Oznacza to, że nie jest gotowa na wizytę kontrolerów. Może się okazać, że podmioty, które liczą na to, iż będą w stanie „wdrożyć RODO” zaraz przed kontrolą będą miały bardzo duży problem, żeby tego dokonać. Dlaczego? Ponieważ zgodność z obecnymi przepisami ochrony danych osobowych jest procesem ciągłym. Nie da się „wdrożyć” i zapomnieć.

Dane powinny być bezpieczne w firmie przez cały czas jej istnienia. Mając więc na uwadze te założenie powiedziałbym, że wdrożenie to proces udoskonalanie firmy, tak by była w stanie skutecznie chronić pozyskane dane osobowe. Nie tylko w dniu pozyskania, ale do dnia w którym dane te „znikną” z firmy. Czy da się to zrobić opracowując kilka dokumentów (czasem wykorzystując pozyskane szablony), drukując je i wkładając do szafy na wieczne „zakurzenie”? Odpowiedź jest prosta – nie. Dlaczego? Ponieważ opracowana dokumentacja ma być odzwierciedleniem funkcjonowania firmy. Przyjmując te założenie nie powinien dziwić Art.24 Rozporządzenia, który tylko stawia kropkę nad i określając wśród obowiązków administratora konieczność wykazania zgodności przyjętych, odpowiednich środków technicznych i organizacyjnych z zapisami RODO, jak i okresowego dokonywania przeglądu tych środków.

Mamy więc do czynienia z procesem zarządzania ochroną danych osobowych, w którym najpierw identyfikujemy dane, analizujemy zasoby oraz stopień adekwatności zabezpieczeń, jeśli konieczne dokonujemy ich aktualizacji, monitorujemy czy działają, żeby na końcu proces ten powtórzyć. Ot cała filozofia. Pytanie jednak brzmi: Jak stwierdzić, czy przyjęte środki są odpowiednie? Czy przyjęta dokumentacja jest wystarczająca? Częściowo, można posiłkować się publikacjami zarówno Ministerstwa Cyfryzacji, jak i Urzędu Ochrony Danych Osobowych. Najlepiej jednak skorzystać z porady doświadczonych specjalistów, którzy będą w stanie pomóc lub przeprowadzić za administratora danych osobowych analizę ryzyka, na podstawie której pomogą dobrać odpowiednie rozwiązanie. Obecnie rynek firm świadczących usługi związane z ochroną danych osobowych bardzo się rozrósł, a firmy prześcigają się w tworzeniu oferty dopasowanej do potrzeb klienta.

Przy doborze partnera, który pomoże dostosować procesy w firmie tak, by chroniły dane osób, których dane dotyczą warto kierować się doświadczeniem. Należy wziąć pod uwagę również, że dane, które trafiają do firmy są niejednokrotnie przechowywane tylko na dyskach komputerów, więc aby je prawidłowo zabezpieczyć nie wystarczy wiedza prawnicza, ale również informatyczna. W szczególności znajomość sposobów i rodzajów zabezpieczeń. Idealnym rozwiązaniem jest firma, która w swoich zasobach posiada ekspertów, zarówno z zakresu przepisów ochrony danych osobowych i bezpieczeństwa informacji, jak informatyków, którzy wiedzą jak te prawo zastosować w praktyce.

MICHAŁ WOWRA – wieloletni, certyfikowany Administrator Bezpieczeństwa Informacji w instytucji finansowej. Audytor wewnętrzny normy ISO 27001. Obecnie Data Protection Officer w Spółkach Grupy Kapitałowej SARE S.A. oraz Inspektor Ochrony Danych z ramienia Fundacji FORCE. Zawiłe zagadnienia związane z ochroną danych osobowych umiejętnie tłumaczy na język polski.