Post-RODO

Największym ryzykiem dla spółek giełdowych (i nie tylko) są wszelkie ryzyka finansowe związane z potencjalną karą administracyjną oraz roszczeniami cywilnymi osób, które dochodzić mogą swoich praw bezpośrednio w sądzie. Mityczna wręcz wysokość kar sięgających 20 mln euro lub 4 proc. światowego obrotu przedsiębiorstwa działa na wyobraźnię i jest z pewnością jednym z elementów branych pod uwagę przez analityków.

Wydaje się, że problematyka przetwarzania danych osobowych i spełnienie wymogów RODO weszły do panteonu codziennej problematyki nie tylko w badaniach due diligence, ale również w zakresie reputacyjnym.

Spółki giełdowe w większości przypadków są ogromnymi przedsiębiorstwami, posiadającymi setki procesów biznesowych i przetwarzającymi duże wolumeny danych osobowych. Narzędziami w takim biznesie są dziesiątki systemów informatycznych, ekosystem dostawców, podwykonawców i kontrahentów przetwarzających dane w roli procesora. Cała powyższa infrastruktura i często skomplikowane relacje niosą ze sobą szereg ryzyk, którymi zarządzanie wymaga nie lada wysiłku, zasobów ludzkich, sprawnej organizacji i skutecznych mechanizmów IT.

Ryzykiem jest incydent bezpieczeństwa, którego konsekwencją może być kara, a wyzwaniem zapewnienie bezpieczeństwa przetwarzania danych osobowych.

Jaka jest obecna skala kontroli prowadzonych przez UODO?

Nie ma obecnie opublikowanych aktualnych statystyk związanych z prowadzonymi kontrolami w zakresie ochrony danych osobowych. Jednakże analizując zainteresowanie problematyką i liczbę skarg osób, których dane są przetwarzane (zgodnie z informacją z 28 stycznia br. przekazaną przez prezesa Urzędu Ochrony Danych Osobowych od 25 maja 2018 do dnia publikacji informacji urząd otrzymał ponad 10 tys. skarg, pytań i zgłoszeń dotyczących ochrony danych oraz 2,4 tys. samodzielnych zgłoszeń administratorów) oraz biorąc pod uwagę plan kontroli sektorowych na 2019 r., mam poczucie, że liczba kontroli zdecydowanie wzrosła, porównując dane z latami ubiegłymi.

Ponadto sam Urząd Ochrony Danych Osobowych rośnie w siłę. Mając nowe kompetencje i narzędzia, prowadzi szeroką rekrutację kadr i zatrudnia znacznie więcej specjalistów niż przed wejściem w życie RODO.

Zmienił się również charakter kontroli. W chwili obecnej zasadniczego znaczenia nabiera udowodnienie i udokumentowanie realizacji wymogów RODO, a nie proceduralne aspekty budowy systemu bezpieczeństwa. Z osobistych doświadczeń wynika, iż kontrole RODO wzbudzają bardzo duże emocje i stanowią znaczne ryzyko dla administratora danych osobowych.

Na dzień dzisiejszy prezes UODO nałożył na administratorów dwie kary finansowe na kwoty 1 miliona złotych oraz 55 tys. złotych.

Jakie działania związane z zarządzaniem danych spółka powinna podejmować cyklicznie, aby firma była w zgodzie z RODO?

Wdrożenie wymagań RODO w wielu firmach niestety przyjęło formę jednorazowego projektu, polegającego na opracowaniu pakietu dokumentacji wewnętrznych, negocjacjach umów powierzenia przetwarzania danych, rozesłaniu obowiązków informacyjnych i podstawowych szkoleniach. Powołani przez spółki inspektorzy ochrony danych czy dedykowane zespoły ds. bezpieczeństwa często nie zostały wyposażone w niezbędne narzędzia czy budżety na pełne wdrożenie RODO, zwłaszcza nowych funkcjonalności w systemach IT. Ciężko przypisać takiemu zachowaniu status wdrożenia wymogów rozporządzenia i podniesienia poziomu bezpieczeństwa przetwarzanych danych osobowych.

Dopiero przyjęcie, że bezpieczeństwo przetwarzania danych osobowych jest procesem ciągłym i stałym, realnie wpływa na minimalizację zagrożeń. Poniżej przedstawiamy pięć najważniejszych z praktycznego punktu widzenia działań, które nazywamy post-RODO i które powinny być realizowane przez każdego administratora danych osobowych.

ANALIZA RYZYKA – CIĄGŁA

Oparcie bezpieczeństwa na analizie ryzyka znane jest od lat nie tylko w świecie IT, jest również fundamentem norm ISO odnoszących się do bezpieczeństwa informacji. Zgodnie z RODO zanim dobierzemy środki organizacyjne i techniczne służące zapewnieniu bezpieczeństwa przetwarzania danych, powinniśmy przeanalizować ryzyko i wyciągnąć z tego procesu praktyczne wnioski. Szacowanie ryzyka uwzględniające szereg aspektów powinno być przeprowadzane na samym początku budowy koncepcji nowych produktów i usług (privacy by design, privacy by default).

POWAŻNE TRAKTOWANIE ZGŁOSZEŃ

Najpoważniejsze naruszenia dotyczą m.in. warunków zgody na przetwarzanie danych osobowych oraz realizacji praw osób, których dane dotyczą (uprawnień i żądań osób fizycznych). W celu zapewnienia bezpieczeństwa organizacji należy skrupulatnie monitorować i reagować na każde zgłoszenie nieprawidłowości związanych z przetwarzaniem danych osobowych.

WEWNĘTRZNE AUDYTY W ORGANIZACJI

Niezbędnym krokiem jest także przeprowadzenie audytu wewnętrznego organizacji mającego na celu ocenę faktycznego poziomu bezpieczeństwa i prawidłowości przetwarzania danych. Taki audyt powinien mieć charakter praktyczny, a nie jedynie formalny.

Przykładem mogą być tutaj audyty systemów IT pod kątem rozliczalności – nie poprzestajemy tylko na oświadczeniu administratora systemu, lecz prowadzimy oględziny, prosimy o dokumentację modyfikacji czy też test polityki haseł.

Treść rozporządzenia pozwala nam zidentyfikować blisko 90 rodzajów naruszeń, które mogą mieć dla nas wyjątkowo trudne do oszacowania skutki i konsekwencje sięgające nawet 20 milionów euro. Rekomendujemy opracowanie takiej check-listy i systematyczne kontrolowanie według tego klucza poszczególnych obszarów przetwarzania danych osobowych.