iSecure logo
  • pl
  • en
    • Blog

    Papierowe wdrożenie RODO w obszarze IT

    Michał Sztąberek
    Awaria serwera
    Kategorie

    Ze smutkiem obserwuję, że bardzo często wdrożenie RODO oznacza w praktyce wdrożenie procedur dotyczących ochrony danych osobowych i… na tym koniec. Nie od dziś wiadomo, że tak skomplikowany proces, jak dostosowanie organizacji do zgodności z przepisami RODO, to praca na wielu płaszczyznach. Aspekt organizacyjny jest oczywiście istotny, ale bez zaangażowania w obszar IT okaże się, że nasza zgodność z wymogami jest iluzoryczna.

    Dam prosty przykład – jak wiemy, RODO przewiduje szereg uprawnień, które przysługują podmiotowi danych, np. możliwość żądania usunięcia danych, żądanie dotyczące uzyskania kopii danych, sprzeciw na przetwarzanie i wiele innych. Wyobraźmy sobie, że organizacja ma procedurę w tym zakresie – przypisano m.in. kto tego typu żądania obsługuje, wskazano terminy, itd. Ale okazuje się, że z systemu nie da się usunąć danych albo w ogóle nie ma możliwości wygenerowania kopii danych…

    Albo jeszcze inna sytuacja – konieczność implementacji zasady ograniczenia przechowywania w praktyce, czyli ustawienie tak systemu teleinformatycznego, by współgrał z przyjętymi w polityce retencji danych okresami ich przechowywania. Ktoś podjął trud i przejrzał podstawy prawne, dyskutował z właścicielami biznesowymi nad ich potrzebami co do czasu przechowywania danych, itd., na koniec zaś opracował dokument, ale w praktyce dane i tak nadal tkwią w systemie, ponieważ nikt nie wdrożył tego rozwiązania na poziomie tegoż systemu.

    Warto zwrócić uwagę na to, że tego typu wdrożenie (na poziomie IT) może zająć sporo czasu, bo bardzo często oznacza to konieczność modyfikacji naszych narzędzi IT służących do przechowywania danych. Tak naprawdę tego typu działanie to taki jakby „projekt w projekcie”, ponieważ na bazie wytycznych audytora i/lub inspektora ochrony danych musi zawiązać się w organizacji zespół wdrożeniowy, trzeba zaplanować prace, zrealizować je, dokonać stosownych testów, by wreszcie móc dokonać implementacji. Procedurę retencji danych można napisać zdecydowanie szybciej, pokazać ją zarządowi i mieć poczucie zrealizowania jednego z wymogów RODO (tu: spełnienia zasady ograniczenia przechowywania). Ale ktoś kiedyś może powiedzieć: „sprawdzam” i okaże się, że nasze działania to nic innego jak właśnie owo „papierowe wdrożenie”, o którym mówi Związek Firm Ochrony Danych Osobowych w nie tak dawno opublikowanym materiale pt. „10 największych błędów przy zapewnianiu zgodności z RODO”.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Michał Sztąberek

    Czy czwarta rocznica bezpośredniego stosowania RODO coś zmienia?

    Pod koniec maja tego roku wiele firm i specjalistów zajmujących się ochroną danych osobowych publikowało sporo ciekawych podsumowań i felietonów dotyczących 4 lat obecności RODO w naszym życiu. Czy rzeczywiście tak wiele się zmieniło, że warto o tym pisać? Wydaje się, że 4 lata to naprawdę sporo, by przedsiębiorcy na dobre zapoznali się z RODO. […]

    Czytaj więcej
    Daniel Taberski

    Procedura ochrony danych osobowych w pracy zdalnej – kiedy jest potrzebna i jak ją wprowadzić?

    Od 07 kwietnia 2023 r. obowiązują znowelizowane przepisy Kodeksu Pracy o świadczeniu pracy zdalnej. Jeżeli firma dopuszcza taką formę świadczenia pracy, zasady ją regulujące powinny w dacie publikacji niniejszego tekstu być już uchwalone i znane pracownikom. Pierwsze miesiące obowiązywania nowych zasad są też doskonałym czasem na weryfikację, czy posiadana dokumentacja jest zgodna z przepisami oraz […]

    Czytaj więcej
    Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
    Maria Lothamer

    Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

    Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki