iSecure logo
Blog

Papierowe wdrożenie RODO w obszarze IT

Awaria serwera
Kategorie

Ze smutkiem obserwuję, że bardzo często wdrożenie RODO oznacza w praktyce wdrożenie procedur dotyczących ochrony danych osobowych i… na tym koniec. Nie od dziś wiadomo, że tak skomplikowany proces, jak dostosowanie organizacji do zgodności z przepisami RODO, to praca na wielu płaszczyznach. Aspekt organizacyjny jest oczywiście istotny, ale bez zaangażowania w obszar IT okaże się, że nasza zgodność z wymogami jest iluzoryczna.

Dam prosty przykład – jak wiemy, RODO przewiduje szereg uprawnień, które przysługują podmiotowi danych, np. możliwość żądania usunięcia danych, żądanie dotyczące uzyskania kopii danych, sprzeciw na przetwarzanie i wiele innych. Wyobraźmy sobie, że organizacja ma procedurę w tym zakresie – przypisano m.in. kto tego typu żądania obsługuje, wskazano terminy, itd. Ale okazuje się, że z systemu nie da się usunąć danych albo w ogóle nie ma możliwości wygenerowania kopii danych…

Albo jeszcze inna sytuacja – konieczność implementacji zasady ograniczenia przechowywania w praktyce, czyli ustawienie tak systemu teleinformatycznego, by współgrał z przyjętymi w polityce retencji danych okresami ich przechowywania. Ktoś podjął trud i przejrzał podstawy prawne, dyskutował z właścicielami biznesowymi nad ich potrzebami co do czasu przechowywania danych, itd., na koniec zaś opracował dokument, ale w praktyce dane i tak nadal tkwią w systemie, ponieważ nikt nie wdrożył tego rozwiązania na poziomie tegoż systemu.

Warto zwrócić uwagę na to, że tego typu wdrożenie (na poziomie IT) może zająć sporo czasu, bo bardzo często oznacza to konieczność modyfikacji naszych narzędzi IT służących do przechowywania danych. Tak naprawdę tego typu działanie to taki jakby „projekt w projekcie”, ponieważ na bazie wytycznych audytora i/lub inspektora ochrony danych musi zawiązać się w organizacji zespół wdrożeniowy, trzeba zaplanować prace, zrealizować je, dokonać stosownych testów, by wreszcie móc dokonać implementacji. Procedurę retencji danych można napisać zdecydowanie szybciej, pokazać ją zarządowi i mieć poczucie zrealizowania jednego z wymogów RODO (tu: spełnienia zasady ograniczenia przechowywania). Ale ktoś kiedyś może powiedzieć: „sprawdzam” i okaże się, że nasze działania to nic innego jak właśnie owo „papierowe wdrożenie”, o którym mówi Związek Firm Ochrony Danych Osobowych w nie tak dawno opublikowanym materiale pt. „10 największych błędów przy zapewnianiu zgodności z RODO”.

Pobierz wpis w wersji pdf

Podobne wpisy:

Adres IP daną osobową

CZYM JEST MALWARE?

Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Czy musimy mieć zgodę na ciasteczka? Wskazówek irlandzkiego organu ciąg dalszy

Kontynuujemy wpis z ubiegłego miesiąca. Opisałem w nim wnioski z dokonanego przez Irlandzki Organ Ochrony Danych Osobowych (IDPC – Irish Data Protection Commision) audytu stron internetowych 38 administratorów danych. Teraz nadszedł czas na przedstawienie wskazówek, jakie zaprezentował wspomniany organ. Wstępne rozważania organu o plikach śledzących Na wstępie IDPC zaznacza, że nie tylko ciasteczkami człowiek żyje. […]

Prawo dostępu do danych, a wyrok (C-487/21)

Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą. Prawo […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki