Trzeba uwzględniać ochronę danych osobowym przy prawie każdym procesie w podmiocie, w tym np. projektując, a potem wdrażając i utrzymując system przyjmowania zgłoszeń od Sygnalistów i podejmowania działań następczych.
Pamiętajmy, że choć minęło już 3,5 roku odkąd RODO obowiązuje, nadal sprawia ono wiele problemów i nadal wiele podmiotów jest na bakier z tą regulację.
Dlaczego RODO powoduje problemy mimo tego, że minęło już 3,5 roku od wejścia w życie odpowiednich przepisów?
W mojej ocenie główne powody takiej sytuacji to:
- niska kultura prawna - wiele podmiotów nie zna lub nie rozumie prawa. Do tego, poprzednia ustawa o ochronie danych osobowych była lekceważona, a teraz wiele podmiotów lekceważy RODO,
- zmiana filozofii w ochronie danych osobowych - RODO opiera się bardziej na filozofii anglosaskiej (ucierania się standardów) a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO,
- brak jednoznacznych odpowiedzi - zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk, a poprzednio była check lista i wzory,
- prawo ochrony danych osobowych cały czas ewoluuje - pojawiają się nowe wytyczne PUODO i Grup roboczych. Rzeczywistość stawia cały czas nowe pytania - np. Czy można mierzyć temperaturę pracowników w pandemii, czy można sprawdzać czy pracownik się zaszczepił. Ponadto cały czas mamy luki i sprzeczności prawne w ustawach,
- środki na wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych, wiele podmiotów traktuje jako koszt a nie inwestycję w bezpieczeństwo - co powoduje, że tnie te "koszty" zwłaszcza w czasie kryzysu. A potem są problemy i duże koszty.
O czym w zakresie ochrony danych osobowych powinien pamiętać każdy podmiot?
Moim zdaniem, każdy podmiot musi pamiętać, że:
- system bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji
- tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednią pozycję i zasoby,
- każdy jest odpowiedzialny za ochronę danych osobowych,
- wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
- kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
- wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
- dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia mało może,
- system bezpieczeństwa danych osobowych musi działać w cyklu Deminga. Tak naprawdę proces doskonalenia systemu nigdy się nie kończy, bo zmienia się organizacja i zmienia się otoczenie organizacji.
Jakie pytania w związku z ochroną danych osobowych powinno sobie zadać najwyższe kierownictwo?
Każdy podmiot powinien sobie zadać parę pytań:
- Kiedy był u mnie ostatni audyt systemu ochrony danych osobowych?
- Czy przeszkolono wszystkich pracowników? I kiedy mieli ostatnie szkolenie?
- Kiedy ostatnio aktualizowano dokumentację RODO?
- Masz IOD`a? A kiedy ostatnio wysłałeś go na szkolenie? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?
Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok”, to radzę szybko poszukać pomocy eksperta.
Zarządzając systemem Compliace lub systemem dla Sygnalistów musimy pamiętać o ochronie danych osobowych. Dlatego warto, by oficer Compliance i Inspektor Danych Osobowych blisko współpracowali przy projektowaniu, wdrażaniu i utrzymaniu systemu Compliance, systemu dla sygnalistów i systemu ochrony danych osobowych.