Nowe funkcje wprowadzane przez RODO
Z dniem 25 maja 2018 roku w życie wchodzi nowe rozporządzenie unijne o ochronie danych osobowych, o którym mogliśmy dowiedzieć się już naprawdę sporo. W dalszym ciągu jednak krąży mnóstwo spekulacji na temat odzwierciedlenia przepisów w praktyce i ich przestrzegania. Oprócz licznych praw dotyczących osób, których dane przetwarzamy, mnóstwa obowiązków administratorów danych czy też odpowiedzialności nakładanej na podmioty przetwarzające pojawiają się zmiany organizacyjne w organach nadzoru, a także nowe funkcje. Inspektor Ochrony Danych to nowa funkcja wprowadzona przez RODO, którą obowiązek wyznaczenia ma każdy administrator. Oczywiście po przeczytaniu pierwszych zapisów rozporządzenia na ten temat możemy zauważyć, że to po prostu nowy ABI. Niech nas jednak nie zmyli to szybkie porównanie, ponieważ na Inspektorze zgodnie z RODO ciążą konkretne obowiązki. Zmianie ulega także GIODO i zostanie zastąpiony odpowiednim podmiotem, którym najprawdopodobniej będzie UOD. Jego działania i zadania w dużej mierze pokryją się z dotychczasową pracą Generalnego Inspektora natomiast na pewno pojawi się dużo nowych rozwiązań, które umożliwią sprawne zarządzanie naruszeniami.
Inspektor Ochrony Danych – jak go wybrać?
Obowiązek wyznaczenia Inspektora przez każdego administratora nasuwa za sobą niewątpliwie pytanie, czy powinna być to osoba bezpośrednio spośród pracowników, ktoś zatrudniony tylko w tym celu czy może lepszym rozwiązaniem jest skorzystanie z usług firmy zewnętrznej. Forma zatrudnienia inspektora ochrony danych może być dowolna. Istotne jest to, aby rzeczywiście realizowane były obowiązki wskazane w rozporządzeniu. Bardzo popularnym rozwiązaniem będzie sytuacja, w której jeden inspektor dla kilku podmiotów realizuje zadania. Kwalifikacje Inspektora to w świetle zmiany przepisów na pewno istotna kwestia natomiast należy pamiętać, że większość ABI przemianuje się na Inspektorów i będą pełnić tą funkcję. To, na co szczególnie powinniśmy zwrócić uwagę to gwarancja niezależności. Inspektor nie może bowiem działać na życzenie i zgodnie z wolą administratora, ale być w pewnym sensie osobą zewnętrzną. Dlatego jeśli planujemy zatrudnić Inspektora bezpośrednio do naszego zespołu należy skupić się na znalezieniu takiej osoby, która będzie w stanie realizować zadania określone w rozporządzeniu i doradzać, a także odradzać administratorom pewne działania.
Weryfikacja zasobów w firmie
Ostatnia prosta przed wejściem w życie RODO to przede wszystkim czas licznych testów i audytów, które mają na celu wykazanie zgodności z RODO oraz oczywiście wskazanie tych elementów, które należy poprawić bądź całkowicie przeprocesować. Audyty ochrony danych osobowych powinien być istotny przede wszystkim dla firm, w których przetwarzanie danych jest podstawową działalnością i w której odbywa się to na dużą skalę. Bardzo często w takich instytucjach może dochodzić do sytuacji, w których pewne procesy organizacyjne są już zwyczajnie przestarzałe, a nie zwracamy na nie uwagi podczas wewnętrznej kontroli. Ustawa ochrony danych osobowych nie wskazywała takich działań natomiast zgodnie z rozporządzeniem konieczne jest regularne przeprowadzanie audytów wewnętrznych oraz prowadzenie odpowiedniej dokumentacji. Dla wielu podmiotów, które nie prowadziły dotąd polityki bezpieczeństwa czy innych dokumentów określających system zarządzania bezpieczeństwem informacji na pewno będzie to trudne zadanie, jednak do wykonania.
Naruszenie danych osobowych
Rosnąca świadomość społeczeństwa na temat ochrony danych osobowych, tego jak są one wykorzystywane i co może się z nimi stać niewątpliwie była jedną z pobudek do stworzenia RODO. Należy jednak zaznaczyć, że równie mocne znaczenie miały liczne naruszenia, które wyraźnie pokazywały zarówno luki w prawodawstwie, jak i wyraźne niedociągnięcia podmiotów przetwarzających czy administratorów. Złe praktyki związane z ochroną i pracą na danych osobowych niestety dalej są spotykane na rynku natomiast istnieje spora szansa, że RODO je zminimalizuje. Incydent ochrony danych to jedno z nowych pojęć, jakie pojawia się w unijnym rozporządzeniu. Wskazuje na sytuacje, w których dochodzi do jakiegoś naruszenia danych osobowych. Może to być na przykład wyciek danych, wyłudzenie danych osobowych czy udostępnienie ich osobom trzecim. W przypadku incydentu RODO nakłada na administratora obowiązek zgłoszenia takiego naruszenia do odpowiedniego urzędu. Przez wielu przedsiębiorców traktowane jest to jako samodonos, który rzeczywiście finalnie na tym polega. Należy jednak zwrócić uwagę na fakt, że poinformowanie o tym odpowiedniego organu oraz swoich odbiorców wyraźnie oznacza, że był to incydent, który zdarzył się przypadkowo. W świetle wysokich kar, jakie serwuje nam RODO samodonos przestaje więc być złem koniecznym. Zgłoszenie incydentu musi odbyć się w trybie natychmiastowym i administrator ma określony czas na przekazanie tych informacji. W związku z tym w przedsiębiorstwach powinny zostać przygotowane odpowiednie procedury zgłaszania incydentów oraz rejestry, dzięki którym będzie przebiegało to sprawnie.