Mało doświadczonego Inspektora cechuje brak właściwego zrozumienia zagadnienia oraz chaos. Obowiązki wynikające z RODO oraz przepisów szczególnych nie są aż tak trudne do zrealizowania, a nadmierność w podejściu do nich, w myśl zasady „w razie czego” jeszcze bardziej komplikują całą sprawę. IOD często zasypuje administratora danych stosami niepotrzebnych wzorów dokumentów do wypełnienia lub sam je tworzy i aktualizuje, co się przekłada na wysoki koszt obsługi miesięcznej.
Minęły ponad 3 lata odkąd rozpoczęliśmy rzeczywiście stosować przepisy o ochronie danych osobowych, dla których punktem odniesienia stało się RODO. Od tego momentu dotychczas obowiązujące regulacje zaczęto zastępować nowymi. Ustawa o ochronie danych osobowych z 10 maja 2018 r. czy ustawa z dnia 21 lutego 2019r. która w ramach wdrożenia unijnego rozporządzenia zmieniała w mniejszym lub większym stopniu brzmienie 168 aktów prawnych.
Jednym z zadań inspektora ochrony danych jest informowanie administratora o obowiązkach na nim spoczywających oraz monitorowanie przestrzegania ogólnego rozporządzenia o ochronie danych i przepisów szczególnych, które związane są z ochroną danych osobowych.
Z praktycznego punktu widzenia do najważniejszych obowiązków administratora danych osobowych należą:
Prowadzenie rejestru czynności przetwarzania danych osobowych.
Prowadzenie rejestru kategorii czynności przetwarzania danych osobowych (o ile pełni rolę procesora)
Realizacja obowiązku informacyjnego wobec osób, których dane osobowe przetwarza.
Nadanie upoważnień z osobami przetwarzającymi dane osobowe w jego imieniu.
Zawieranie umów powierzenia z podmiotami, z którymi należy to zrobić.
Samo rozporządzenie ogólnie wskazuje, że administrator jest zobowiązany przede wszystkim do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się w zgodzie z obowiązującymi przepisami oraz możliwości wykazania wdrożenia tych środków.
Jakie środki techniczne i organizacyjne należy uznać za „odpowiednie”?
W mojej opinii to właśnie IOD powinien umieć określić rozwiązania, które po pierwsze będą skutecznie realizowały powyższe obowiązki, a po drugie będą przejrzyste oraz nie nadmierne w stosunku do obowiązujących regulacji.
Praktyka pokazuje jakie błędy najczęściej popełniane są przez ADO, które być może wynikają również z niewłaściwego doradztwa.
NADMIERNA ILOŚĆ DOKUMENTACJI
Wiele podmiotów, szczególnie z obszaru budżetowego wciąż stosuje dokumenty wymagane przez rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Sęk w tym, że rozporządzenie to zostało uchylone. Tym samym rację bytu straciły m.in. wykazy zbiorów, wykazy pomieszczeń stanowiących obszar przetwarzania czy zgody na przebywanie w tych obszarach.
Prowadzenie dokumentacji w takiej formie nie dość, że nie powoduje realizowania obowiązków prawnych to dodatkowo komplikuje faktyczne stosowanie się do wytycznych RODO.
ZAWIERANIE UMÓW POWIERZENIA Z NIEWŁAŚCIWYMI PODMIOTAMI
Kryteria jakimi należy się kierować przy zawieraniu umów powierzenia (lub innego instrumentu prawnego) regulującego powierzenie przetwarzania danych osobowych zostały określone w art. 28 RODO oraz w wytycznych Europejskiej Rady Ochrony Danych.
Regulowanie powierzenia w przypadkach, w których nie ma potrzeby tego robić powoduje, poza nadprodukcją dokumentów, że kwestia powierzenia jest traktowana jako formalność, którą po prostu należy spełnić. Jednak decyzje Prezesa Urzędu Ochrony Danych Osobowych pokazują jak istotne z punktu widzenia interesu administratora, który odpowiada za błędy i naruszenia powstałe w wyniku działań procesora, jest rzetelne podejście do tej kwestii.
Błędy w tym obszarze mogą zatem dotyczyć dwóch zagadnień:
pierwszym jest regulowanie powierzenia z takimi podmiotami jak placówki medyczne świadczące usługi z zakresu medycyny pracy czy kancelariami prawnymi prowadzącymi obsługę prawną danej jednostki;
drugim niewłaściwy wybór procesora, który nie jest w stanie zapewnić odpowiednich środków technicznych i organizacyjnych pozwalających na zapewnienie bezpieczeństwa przetwarzanym danym osobowym.
OBOWIĄZEK INFORMACYJNY PRZEZNACZONY DLA… NIKOGO KONKRETNEGO
Administrator danych osobowych ma obowiązek informowania osoby, których dane przetwarza o ściśle określonych kwestiach, takich jak m.in. określenie swojej tożsamości, wskazanie celu czy podstawy przetwarzania.
Tymczasem nierzadko spotykaną praktyką jest funkcjonowanie „ogólnych klauzul informacyjnych” skierowanych do bliżej nieokreślonego odbiorcy. Taka praktyka powoduje, że nie administrator pozornie realizuje jeden z podstawowych obowiązków. Bardzo trudno jest, zachowując czytelność i przejrzystość przekazu, poinformować o prawach przysługujących danej osobie w związku z przetwarzaniem jej danych osobowych, jeśli są one częścią ogólnej informacji. Przecież jeden administrator może (i najczęściej tak właśnie jest) przetwarzać dane osobowe na podstawie więcej niż jednej przesłanki określonej w art. 6 lub 9 RODO.
POLITYKI, W KTÓRYCH NIE MA PROCEDUR
Częstym zjawiskiem jest posiadanie polityk, które powinny regulować kwestie postępowania w danym podmiocie z danymi osobowymi, a w rzeczywistości są zbiorem deklaracji lub fragmentów przepisów. Brakuje w nich stosownych procedur, które mogłyby być stosowane w praktyce.
Jest to o tyle istotne, że właśnie taki dokument powinien stanowić pomoc w sytuacjach, w których doszło do naruszenia lub osoba, której dane są przetwarzane zechce skorzystać z któregoś z przysługujących jej praw. Posiadanie jasno określonego planu działania jest o tyle istotne, że w przypadku realizacji praw oraz naruszeń obowiązują określone terminy, w jakich należy podjąć stosowne działania. O ile w pierwszym przypadku jest to miesiąc, co jest dostateczną ilością czasu na uporanie się z wnioskiem, o tyle w związku z naruszeniami termin zgłoszenia zdarzenia mogącego skutkować utratą praw i wolności osób fizycznych wynosi już tylko 72 godziny.
MARGINALIZOWANIE ROLI REJESTRU CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Rejestr bywa postrzegany jako jedna z wielu tabel, czy zestawień (w zależności o formy), które są wprowadzają dodatkowy zamęt w codzienne borykanie się z danymi osobowymi. W rzeczywistości rejestr czynności jest jednym z podstawowych obowiązków, które spoczywają na administratorze danych. Dobrze zaprowadzony rejestr zaś pozwala na skupieniu w jednym miejscu informacji na temat tego w jaki sposób wygląda przetwarzanie danych osobowych w danym podmiocie. Od kategorii danych, przez kategorie osób na okresach przechowywania kończąc. Dodatkowo rejestr pozwala na uporządkowanie i ułatwienie do realizacji pozostałych obowiązków, np. w zakresie nadawania upoważnień, realizacji obowiązku informacyjnego czy określenie tego, z którymi podmiotami zawarliśmy lub powinniśmy zawrzeć umowy powierzenia.
Powyższe przykłady stanowią najczęściej (wg naszej praktyki) pojawiające się obszary wymagające poprawienia na gruncie przetwarzania danych osobowych. Czynnikiem wspólnym ich wszystkich jest brak właściwego zrozumienia zagadnienia oraz chaos. Obowiązki wynikające z RODO oraz przepisów szczególnych nie są aż tak trudne do zrealizowania, a nadmierność w podejściu do nich, w myśl zasady „w razie czego” jeszcze bardziej komplikują całą sprawę.
Jednym ze sposobów uporządkowania całego systemu jest zaangażowanie do pełnienia roli IOD osoby (lub osób), które istotnie posiadają wiedzę oraz doświadczenie pozwalające na wprowadzenie przejrzystych, prostych zasad, które będą towarzyszyły głównej działalności administratora i idealnie się w nią wkomponują jednocześnie nie przeszkadzając i będąc przydatnymi w codziennym funkcjonowaniu.
Dodatkowe informacje: