Świadomość obowiązków i praw wynikających z RODO nadal jest niewystarczająca. Aż 70% badanych nie wie, kto powinien zająć się neutralizacją skutków wycieku danych osobowych.

Z raportu opublikowanego przez serwis ChronPESEL.pl, Krajowy Rejestr Długów i Urząd Ochrony Danych Osobowych wynika, że osoby, których dane są przetwarzane oczekują rzetelnej informacji – zarówno na etapie gromadzenia danych osobowych, w ramach wypełniania obowiązku informacyjnego, ale także w przypadku wystąpienia naruszenia.

Pozyskując dane osobowe Administrator Danych Osobowych (ADO) jest obowiązany podać osobie, której dane dotyczą, informacje wskazane w art. 13 RODO, między innymi:

• nazwę, formę prawną, adres
• dane kontaktowe, w tym dane kontaktowe Inspektora Ochrony Danych (IOD) – jeśli został wyznaczony
• cele przetwarzania danych osobowych
• podstawę prawną przetwarzania
• odbiorców danych osobowych lub ich kategorie
• zamiar przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
• okres, przez który dane osobowe będą przechowywane
• prawa przysługujące osobie, której dane dotyczą – to jest prawo żądania od ADO dostępu do swoich danych osobowych, ich przenoszenia, sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, wniesienia skargi do organu nadzorczego.

ADO jest obowiązany wdrożyć odpowiednie techniczne i organizacyjne środki ochrony danych osobowych, a naruszenie ochrony danych osobowych zgłosić organowi nadzorczemu. Jeśli incydent bezpieczeństwa może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ADO ma obowiązek bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą.

Dotyczy to w szczególności sytuacji, gdy przetwarzanie danych skutkuje:

• dyskryminacją
• kradzieżą tożsamości lub oszustwem dotyczącym tożsamości
• stratą finansową
• naruszeniem dobrego imienia
• utratą możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Czy pracownicy wiedzą, jak postępować?

Zadaniem IOD jest informowanie pracowników ADO, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO. Tymczasem prawie 1/3 pracujących zawodowo osób, które wzięły udział w badaniu, nie zna zasad ochrony danych osobowych obowiązujących w ich miejscu pracy, zaś blisko 2/3 ankietowanych wskazuje, że szkolenia na temat bezpieczeństwa danych osobowych nie są organizowane regularnie przez pracodawcę. W konsekwencji pracownicy postępują niewłaściwie, wykonując operacje na danych osobowych.

Do najczęstszych eksperci zaliczają:

• zgubienie służbowego laptopa lub telefonu komórkowego
• zapisywanie haseł dostępu w widocznych miejscach
• tworzenie haseł  dostępu niespełniających standardów bezpieczeństwa
• przechowywanie dokumentów w niezabezpieczonych pomieszczeniach
• wysyłanie wewnętrznej korespondencji korporacyjnej do zewnętrznych adresatów (Klientów, Kontrahentów)
• wysyłanie wiadomości do wielu adresatów, bez ukrycia  adresów e-mail odbiorców
• wysłanie wiadomości lub tradycyjnej przesyłki na błędny adres – do niewłaściwego adresata.

Świadomość pracowników należy budować poprzez organizację cyklicznych warsztatów i zapewnianie  wsparcia – bazy wiedzy (literaturę, webinaria, zbiór pytań – odpowiedzi), fachowej rady w codziennych konkretnych problemach w zakresie ochrony danych osobowych, z którymi mierzą się pracownicy.

To nie wszystko!

Odporność systemu ochrony danych osobowych na ataki i wycieki jest uzależniona od poziomu kompetencji pracowników.

Jak ją zwiększyć? Poprzez nieustanne audytowanie – sprawdzanie, czy pracownicy rzeczywiście przestrzegają ustalone zasady i wypełniają procedury, wykonując zadania. Tylko to pozwala ADO wychwytywać na bieżąco nieprawidłowości i zaniedbania, które można skorygować zanim dojdzie do naruszenia.

Czy jako ADO jesteś pewny, że Twoi pracownicy przetwarzają dane osobowe w bezpieczny sposób?

Czy jako pracownik wiesz, jak przetwarzać dane osobowe w bezpieczny sposób?

Z pełnym tekstem raportu można zapoznać się tutaj.

Treść niniejszego materiału ma wyłącznie charakter informacyjny i nie może być traktowana, jako porada prawna. Zawarte w materiale treści mogą nie wyczerpywać w pełni problemów lub zagadnień prawnych związanych z nowelizowanymi przepisami, orzeczeniami, interpretacjami. Każda sprawa wymagająca wiedzy prawniczej ma swój indywidualny wymiar, co uzasadnia jej indywidualną analizę. Zaleca się uprzednią konsultację konkretnej sprawy z radcą prawnym, adwokatem lub innym wykwalifikowanym prawnikiem. W przypadku jakichkolwiek pytań związanych z przedstawionymi powyżej zagadnieniami prawnymi oraz ich możliwym wpływem na działalność Użytkownika prosimy o kontakt drogą elektroniczną na adres e-mail: kontakt@fibi.com.pl lub pisemnie na adres: ul. Chłodna 64/315, 00-872 Warszawa.