Zabezpieczenia techniczne i organizacyjne – spółka zgodna z RODO

Ogólne rozporządzenie o ochronie danych osobowych (RODO) jasno mówi, że każda organizacja, która przetwarza dane osobowe, w tym również każda spółka, ma obowiązek zapewnić prawidłowy poziom zabezpieczenia danych. I nie chodzi jedynie o zaplecze techniczne IT. Przepisy wymagają także od administratora wdrożenia spójnych działań organizacyjnych pozwalających chronić dane osobowe na każdym etapie ich przetwarzania.

Podstawę prawną tworzą tutaj trzy wspomniane wyżej artykuły RODO — art. 24, art. 25 oraz art. 32, które razem jasno określają reguły, jakich muszą przestrzegać administratorzy danych osobowych, jeśli mowa o planowaniu, wdrażaniu oraz monitorowaniu środków ochrony.

Art. 24 RODO – obowiązek wdrożenia i wykazania działań

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

Objaśnienie:
Art. 24 RODO nakłada na administratora danych osobowych (np. zarząd spółki) pewne obowiązki. Musi on nie tylko działać zgodnie z przepisami, ale także móc rozliczyć się z przeprowadzonych działań, czyli udokumentować je, testować i wykazać skuteczność wdrożonych rozwiązań. W praktyce — administrator zobowiązany jest do przeprowadzania audytów, analiz ryzyka i stworzenia pisemnych procedur, które wykażą, że pozyskane dane są przetwarzane w sposób bezpieczny i zgodny z prawem.

Art. 25 RODO – privacy by design oraz by default

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności”.

Objaśnienie:

Art. 25 RODO mówi, że już na etapie tworzenia systemu pozyskiwania danych osobowych (np. formularza, procedur czy platformy), administrator musi wdrożyć rozwiązania, które będą minimalizować przetwarzanie danych, np. włączenie domyślnego zaznaczania checkboxów, czy automatyczna anonimizacja).

Art. 32 RODO – bezpieczeństwo przetwarzania danych osobowych

„Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Objaśnienie:

Art. 32 RODO to najbardziej praktyczny przepis, w którym wprost wymieniono typy zabezpieczeń, jakie spółka powinna wdrożyć, m.in. szyfrowanie, kontrolę dostępu, backupy, plany awaryjne, czy testowanie skuteczności systemów. Dobór wymienionych środków powinien być uzależniony od występującego ryzyka oraz skali działalności. UODO właśnie ten przepis analizuje najczęściej, chcąc ocenić skalę naruszeń.

Wymienione wyżej artykuły pokazują, że administratorzy danych, w tym także zarząd spółki, są zobowiązani do wdrożenia środków ochrony danych osobowych, ich udokumentowania oraz monitorowania ich skuteczności. Istotne tutaj jest połączenie aspektu technicznego z organizacyjnym (TOM). Kluczowe kwestie, o których nie można zapomnieć to rozliczalność i systematyczność wdrożeń.

Wprowadzenie RODO w spółce wiąże się z wieloma wyzwaniami, które często prowadzą do różnorodnych błędów. Do najczęściej występujących należą:

• brak prawidłowej analizy pojawiającego się ryzyka związanego z przetwarzaniem danych osobowych, co przekłada się na nieodpowiednie działania w zakresie zabezpieczeń;

• brak dostosowania polityki prywatności do zmieniających się realiów, przez co klienci nie są informowani o przetwarzaniu ich danych osobowych;

• brak prawidłowego przeszkolenia pracowników w zakresie ochrony danych osobowych, co może skutkować nieświadomym naruszeniem przepisów RODO, w tym zabezpieczeń technicznych i organizacyjnych;

• brak udokumentowania procesów przetwarzania danych, co w razie przeprowadzenia kontroli przez określone organy, może skutkować poważnymi konsekwencjami;

• brak odpowiednich zgód na przetwarzanie danych osobowych to jedno z najczęściej występujących naruszeń, które może skutkować wysokimi karami finansowymi.

Implementacja RODO i zabezpieczeń technicznych oraz organizacyjnych w spółce to złożone proces, który będzie wymagał od Ciebie konsekwencji i zaangażowania. Tylko prawidłowo skoordynowane działania w tym obszarze pomogą Twojej firmie uniknąć nieprzyjemnych konsekwencji prawnych i finansowych. Musisz wiedzieć, że obok kar pieniężnych, które mogą wynieść nawet do 20 mln euro lub w przypadku przedsiębiorstwa — do 4% rocznego obrotu, przepisy RODO przewidują również możliwość pociągnięcia Cię do odpowiedzialności cywilnej i karnej.