Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeZarządzanie bezpieczeństwemGóra RODO-wa | pomijane aspekty wdrożenia nowej regulacji (cz. 1)
iceberg_2

Góra RODO-wa | pomijane aspekty wdrożenia nowej regulacji (cz. 1)

by on 24 kwietnia 2017in Zarządzanie bezpieczeństwem, Zgodność regulacyjna

Ogólne rozporządzenie o ochronie danych (w dalszej części artykułu: RODO lub Rozporządzenie) spowodowało duże poruszenie wśród firm doradczych oraz kancelarii prawnych świadczących usługi w tym zakresie, jak również osób zarządzających firmami z sektora publicznego i prywatnego. W niniejszym artykule postaram się wprowadzić Państwa w problematykę RODO i zwrócić uwagę na kilka istotnych elementów w sposób nieco odmienny od tego przedstawianego dotychczas w wielu artykułach dostępnych w Internecie.

Jakie są założenia RODO?

Żeby dobrze zrozumieć to jak należy przygotować się do stosowania nowego rozporządzenia, należy odpowiedzieć sobie na pytanie, jakie są jego założenia?

Po pierwsze – wprowadzenie jednolitego poziomu legislacji w ramach Unii Europejskiej, co pozwala na uproszczenie funkcjonowania firm międzynarodowych oraz zwiększenie unifikacji zarządzania obszarem w ramach poszczególnych krajów UE.

Po drugie – objęcie swoim zakresem nowych definicji danych osobowych, które są wykorzystywane lub mogą być wykorzystane do identyfikacji osób (np. dane genetyczne).

Po trzecie – zwiększenie praw osób, których dane dotyczą, w odpowiedzi na coraz większy zakres i zasięg przetwarzania danych przez różne podmioty.

Po czwarte – większa elastyczność zapisów, a co za tym idzie dłuższe życie rozporządzenia biorąc pod uwagę potencjalny rozwój technologiczny oraz możliwość bardziej adekwatnego dostosowania do specyfiki i skali funkcjonowania podmiotu. W szczególności objawia się to np. w przypadku mechanizmów zabezpieczeń opartych o analizę ryzyka.

I wreszcie najważniejszy cel:

Po piąte – większy praktyczny nacisk na osiągnięcie rzeczywistej i skutecznej ochrony danych osobowych, a nie tylko formalnej zgodność z rozporządzeniem (chociaż ta też jest istotna). Oznacza to większy nacisk na rzeczywiste zarządzanie obszarem ochrony danych osobowych. I w tym miejscu płynnie przechodzimy do tytułu artykułu. O co chodzi z tą „górą RODO-wą”?

Czym jest góra RODO-wa?

Jak to z górami lodowymi bywa, ich największa część znajduje się pod wodą. Dokładnie w taki sposób można scharakteryzować wymagane działania związane z wdrożeniem Rozporządzenia. Poniższy model naszego autorstwa właśnie to obrazuje.

Nasza góra RODO-wa została podzielona na cztery poziomy:

  1. Zdefiniowane zasady – formalne podstawy do wdrożenia, utrzymania i ciągłego doskonalenia systemu ochrony danych osobowych.
  2. Dostosowane i wdrożone procesy – procesowe wsparcie w realizacji wymagań Rozporządzenia oraz dostosowane procesy biznesowe.
  3. Dostosowane systemy – zmodyfikowane systemy biznesowe zgodnie z wymaganiami RODO.
  4. Dostosowana infrastruktura – zapewnienie bezpiecznej infrastruktury IT oraz rozwiązań fizycznych i sprzętowych.

Po lewej stronie mamy również informację o wymaganych kompetencjach wdrożeniowych. Według naszej analizy kompetencje prawne, tradycyjnie kojarzone z danymi osobowymi, to zdecydowanie za mało do zapewnienia zgodności z RODO. Otóż punkt 1. „Zdefiniowane zasady” z powyższej listy jest tylko wierzchołkiem góry RODO-wej. Oznacza to, że opracowanie zgodnych z prawem ram zarządzania jest elementem niezbędnym, lecz niewystarczającym do osiągniecia praktycznej zgodności z Rozporządzeniem. Powierzchowne traktowanie RODO jest najczęściej spotykane w materiałach informacyjnych dostępnych w Internecie. Wynika to najpewniej z faktu, że przy implementacji i stosowaniu dotychczasowych wymogów prawnych (sprzed RODO) skupiano się przede wszystkim na formalnej zgodności z regulacjami, a nie na zapewnieniu faktycznej ochrony danych osobowych.

Głównym powodem takiego stanu rzeczy było skupianie się samych regulacji prawnych na wymuszaniu przede wszystkich zgodności formalnej, jak również niewielka groźba konsekwencji naruszenia ochrony. Owszem, wiele zaniechań związanych z realizacją obowiązków mogło skutkować odpowiedzialnością karną, ale w praktyce działo się tak w bardzo niewielu przypadkach (statystyki policyjne w zakresie ochrony danych osobowych – http://statystyka.policja.pl/st/wybrane-statystyki/ochrona-danych-osobowy/63855,Ochrona-danych-osobowych.html). Również kary grzywny były bardzo rzadko zasądzane.

Wszystko wskazuje na to, że w przypadku RODO będzie zupełnie inaczej. Nie będzie odpowiedzialności karnej za przewinienia, natomiast będą dotkliwe kary finansowe nakładane bezpośrednio (bez udziału sądu) przez organ nadzorczy. Ponadto należy spodziewać się dość intensywnych „sprawdzeń” naszego systemu ochrony danych osobowych ze strony wyspecjalizowanych w tym kancelarii odszkodowawczych lub świadomych swoich praw osób fizycznych. W takich przypadkach zaniedbania mogą się skończyć również procesami cywilnymi i zasądzonymi odszkodowaniami, nie wspominając o stratach wizerunkowych.

Czego nie widać gołym okiem…

W tych niewidocznych na pierwszy rzut oka warstwach – ponieważ nie wynikają one bezpośrednio z zapisów RODO, lecz są naturalną konsekwencją stosowania Rozporządzenia – znajduje się część wykonawcza ochrony danych osobowych. Rozporządzenie wskazuje, że dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, co można przełożyć na trzy podstawowe atrybuty bezpieczeństwa informacji:

  • Poufność – zapewnienie odpowiednich mechanizmów zabezpieczeń przed nieuprawnionym dostępem do danych osobowych.
  • Integralność – zapewnienie mechanizmów zabezpieczeń zapobiegających nieuprawnionym modyfikacjom lub usunięciu danych osobowych.
  • Dostępność – zapewnienie dostępu do danych osobowych zgodnie z nadanymi uprawnieniami i przy zastosowaniu odpowiednich mechanizmów zabezpieczeń oraz odtwarzania po awarii.

Centralnym procesem zarządzania bezpieczeństwem danych osobowych, który wpływa na wskazane atrybuty, jest proces zarządzania ryzykiem. Proces odpowiada za wskazanie adekwatnych, dostosowanych do specyfiki i skali funkcjonowania mechanizmów zabezpieczeń, które pozwalają ograniczyć ryzyko i tym samym zminimalizować niepożądane konsekwencje w przyszłości. Proces jest jedną z największych nowości w Rozporządzeniu, zastępując niejako podane wprost wymagane mechanizmy zabezpieczeń z poprzedniego aktu prawnego (np. hasła 8-znakowe zmieniane nie rzadziej niż co 30 dni).

Obecnie to Administrator w oparciu o analizę ryzyka będzie dobierał adekwatne mechanizmy zabezpieczeń, a sama analiza będzie stanowiła uzasadnienie podjętych decyzji. Być może organ nadzorczy opublikuje zestaw dobrych praktyk w tym zakresie, jednak wciąż będą one jedynie sugestią, a nie bezwzględnie wiążącym prawem. Toteż zgodność z RODO zapewni, podobnie jak w przypadku Rekomendacji D, lub Wytycznych IT Komisji Nadzoru Finansowego, przejrzyste zarządzanie obszarem bezpieczeństwa przetwarzania danych osobowych.

Niezbędne kompetencje

Biorąc pod uwagę konieczność zapewnienia ochrony danych osobowych zgodnie z wymaganiami wynikającymi z analizy ryzyka, oprócz kompetencji prawnych, które oczywiście są konieczne, niezbędne jest również zaangażowanie dodatkowych kompetencji w zakresie:

  1. Praktycznego zarządzania bezpieczeństwem informacji w warstwie organizacyjno – procesowej, systemowej, infrastruktury, analizy ryzyka, ciągłości działania oraz zabezpieczeń fizycznych i środowiskowych.
  2. Procesów biznesowych funkcjonujących w organizacji, ich zgodności ze standardami branżowymi oraz nowych procesów wynikająch wprost z Rozporządzenia, jak również wiedzy i doświadczenia w zakresie samego modelowania i reorganizacji procesów biznesowych. Kompetencja wykorzystywana jest przy okazji przeglądu procesów biznesowych pod kątem bezpieczeństwa danych osobowych oraz przy uruchamianiu nowych procesów związanych z obsługą incydentów i żądań w zakresie zarządzania danymi osobowymi.
  3. Aspektów technicznych i technologicznych w obszarze architektury systemów informatycznych, ze szczególnym uwzględnieniem baz danych, a także infrastruktury IT, w tym infrastruktury przetwarzania danych. Ponieważ podmioty czeka dostosowanie funkcjonujących systemów do obsługi zmodyfikowanych procesów biznesowych, obsługi żądań od osób, których dane osobowe są przetwarzane skutkujących operacjami na danych oraz uruchamiania dodatkowych mechanizmów zabezpieczeń.

Dopiero wprowadzenie odpowiednich zmian w przedstawionych czterech warstwach góry RODO-wej pozwala stwierdzić, że system ochrony danych osobowych funkcjonuje, a co za tym idzie ryzyko nałożenia kar finansowych, utraty reputacji lub innych negatywnych konsekwencji jest ograniczone i zarządzane.

Oczywiście samo wdrożenie powinno być realizowane w sposób uporządkowany i planowy, tak aby termin 25 maja 2018 r. (dzień, w którym RODO zacznie obowiązywać) był terminem realnym do spełnienia.

W kolejnym artykule z cyklu omawiam nieco bardziej szczegółowo zawartość poszczególnych komponentów w ramach modelu dostosowania do wymagań RODO, a także przedstawiam główne kroki niezbędne do podjęcia w celu zakończenia wdrożenia Rozporządzenia z sukcesem – artykuł znajdziecie Państwo pod poniższym linkiem:

Góra RODO’wa – pomijane aspekty wdrożenia nowej regulacji (cz. 2)

Share this article
0
Tags: , ,

Written by

The author didnt add any Information to his profile yet

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij