Co może dać administratorowi ochrona danych osobowych?
Dodano: 27-07-2015 w kategorii: Zasady przetwarzania danych osobowych, Obowiązki ADO i ABI. Dodane przez: Katarzyna Witkowska.
Niezwykle często w czasie szkoleń, konferencji czy wykładów usłyszeć można oburzenie administratorów danych na to, jak dużo obowiązków nakładają na nich przepisy o ochronie danych. Często ochronę danych utożsamia się właśnie z obciążeniem dla ADO. Poza tym, o ile w dużych podmiotach potrzeba wdrażania systemu ochrony danych jest z różnych względów dostrzegana, o tyle mniejsi administratorzy niejednokrotnie są przerażeni koniecznością realizacji obowiązków wynikających z przepisów o ochronie danych. Zarówno pewne obawy związane ze stosowaniem tych przepisów, jak postrzeganie ochrony danych osobowych jako kolejnego katalogu obowiązków są zrozumiałe, nie zawsze jednak uzasadnione. Warto więc spojrzeć na ochronę danych i proponowany przez ustawę i rozporządzenia system z nieco innej perspektywy. Co może dać administratorowi wdrożenie systemu ochrony danych? Czy stosowanie ustawy to też korzyści?
Porządek
Przepisy o ochronie danych wymagają od ADO porządku. Choć niejednokrotnie na etapie wdrażania systemu ochrony danych budzi to wątpliwości i niezadowolenie pracowników czy samego ADO, stosowanie przepisów o ochronie danych osobowych pociąga za sobą konieczność zastosowania szeregu praktyk porządkujących pracę zarówno w formie tradycyjnej, jak i elektronicznej. Polityka czystego biurka, chowanie dokumentów do zamykanych szafek, dbanie o to, by żadne zbędne dokumenty nie były wyrzucane, a należycie niszczone (i to niezwłocznie, a nie, gdy uzbiera się ich zdecydowanie za dużo), jasne zasady określające to gdzie i jak przechowywane są dokumenty, a także ustalony system zapisywania i archiwizowania danych przetwarzanych elektronicznie, w oczywisty sposób przekładają się na uporządkowanie pracy całego zespołu oraz na porządek w dokumentach, ułatwiający pracę i znacznie ją usprawniający.
Odpowiedzialność i podział kompetencji
Kolejną zaletą wdrożenia rozwiązań z zakresu ochrony danych jest zapewnienie jasnego podziału odpowiedzialności i kompetencji w ramach organizacji. System upoważnień dla pracowników, określone kryteria i zasady dostępu do danych oraz jasne przedstawienie każdemu z upoważnionych zakresu operacji, które może na danych wykonywać nie uchronią oczywiście przed błędem bądź nieuczciwym pracownikiem, ale ułatwią pociągnięcie do odpowiedzialności. W większości wypadków zagwarantują natomiast, że każdy z pracujących na danych będzie wiedział, co mu wolno z tymi danymi robić (np. że nie wolno danej osobie trwale usuwać danych lub niszczyć dokumentów). Zastosowanie systemowych środków, gwarantujących brak możliwości działania użytkownika poza zakresem wynikającym z upoważnienia zagwarantuje z kolei, że wszelka próba wykonania operacji, do których nie jest upoważniony będzie po prostu niemożliwa.
Kontrola
Przepisy wymagają od ADO kontroli nad danymi, pełnej orientacji w tym gdzie, przez kogo, z wykorzystaniem jakich metod i środków przetwarzane są dane (zarówno dane w wersji papierowej, jak i te przetwarzane elektronicznie). W czasach rozproszenia informacji i dostępu do bardzo różnorodnych środków przetwarzania jest to niezwykle istotne. System ochrony danych pomaga ustalić zasady obiegu informacji w strukturze ADO i prowadzi do wyjaśnienia zasad postępowania z dokumentami. Gwarantuje również, że administrator, odpowiedzialny przecież za wszystko, co się z danymi dzieje, wie, kto dane do systemu wprowadza, kto je modyfikuje, kto nimi zarządza. Ponadto, w przypadku korzystania z prawa do kontroli danych przez ich podmiot, ADO jest przygotowany do udzielenia kompleksowej i rzetelnej informacji w tym zakresie.
Wizerunek i renoma
Świadomość w zakresie ochrony danych osobowych, choć nadal pozostawiająca wiele do życzenia, stale rośnie. Klienci mający szeroki wybór usług coraz częściej zwracają uwagę na zasady działania usługodawców, na stosowane przez nich klauzule, polityki prywatności, metody zbierania danych. Wymuszanie zgód, brak poszanowania decyzji klienta choćby co do przetwarzania jego danych w celach marketingowych, zbieranie danych w zakresie nieadekwatnym do celu coraz częściej powoduje rezygnację klienta z oferty danego usługodawcy. Gwarancja poszanowania prywatności użytkowników czy klientów pomaga budować przyjazny i godny zaufania wizerunek firmy.
To samo dotyczy relacji B2B. Przedsiębiorcy wybierając dostawców usług czy partnerów biznesowych coraz częściej zwracają uwagę na stosowane przez nich praktyki, respektowanie określonych standardów i stwarzane przez nich gwarancje bezpieczeństwa nie tylko danych osobowych, ale i szeroko pojętych informacji. Poza tym, wszelkiego rodzaju wycieki danych, zagubienie kluczowych dokumentów, ujawnienie poufnych informacji to sytuacje, które pozostawiają trwały ślad na wizerunku firmy.
Bezpieczeństwo
System ochrony danych osobowych z założenia ma prowadzić do zapewnienia bezpieczeństwa tych danych. Jeżeli jest prawidłowo wdrożony, rzadko gwarantuje jednak wyłącznie bezpieczeństwo danych osobowych. Idzie dalej, pomagając chronić szersze spektrum informacji, w tym np. informacje składające się na tajemnicę przedsiębiorstwa. Dlaczego? Dlatego, że zastosowanie w praktyce przepisów o ochronie danych osobowych uczy identyfikacji punktów krytycznych, szczególnie wrażliwych obszarów. Pomaga wypracować dbałość o bezpieczeństwo szeroko pojętych informacji. Uczy ostrożności i ułożenia w pracy i to bez względu na stanowisko. Ponadto, zastosowanie wymaganych zabezpieczeń w przypadku przetwarzania danych w systemach informatycznych minimalizuje m.in. ryzyko utraty danych czy skopiowania określonych informacji przez osoby nieuprawnione.
W tym miejscu warto przywołać również budzący niejednokrotnie niezadowolenie obowiązek podpisywania umów powierzenia. Administrator danych może wdrożyć najlepsze, najskuteczniejsze i najbezpieczniejsze rozwiązania, ale jeżeli będą obejmowały one wyłącznie jego strukturę, mogą okazać się zbędne. Kiedy? Wtedy, gdy tak starannie chronione przez ADO dane zostaną nienależycie powierzone do przetwarzania innemu podmiotowi. Może się bowiem okazać, że wobec braku zobligowania procesora przez administratora do zastosowania określonych rozwiązań i zapewnienia odpowiedniej ochrony, przez słabość jednego z ogniw łańcucha outsourcingowego, bezpieczeństwo danych zostanie poważnie narażone.
Świadomość
Żadne rekomendacje, zakazy i nakazy nie będą skuteczne, jeżeli wśród zobowiązanych do ich stosowania zabraknie świadomości. Wdrażanie systemu ochrony danych wymusza szkolenie upoważnionych do przetwarzania danych z obowiązujących w tym zakresie przepisów. Ustawa nie przesądza, w jaki sposób ma to następować. Warto jednak wykorzystać takie szkolenie do uświadomienia pracownikom, jak cenne są dane w pracy administratora danych i to nie z punktu widzenia ustawy, ryzyka kontroli i nałożenia sankcji przez GIODO, ale z punktu widzenia interesu administratora, któremu zależy na tym, aby praca w jego organizacji przebiegała sprawnie i w sposób uporządkowany. Ustalanie zasad pracy z danymi to doskonała możliwość, by uporządkować pracę w ogóle.
Czy tylko zalety?
Oczywiście wdrażanie systemu ochrony danych osobowych to również czas, zaangażowanie, koszty i niejednokrotnie wiele wątpliwości, ale dzisiejszy post nie temu jest poświęcony. System ochrony danych daje bowiem administratorowi wiele korzyści, jak choćby wspomniane: porządek, jasny podział kompetencji i odpowiedzialności, kontrolę i bezpieczeństwo. Pomaga też budować pozytywny wizerunek firmy i poprawia świadomość zaangażowanych w proces przetwarzania danych. Często też daje spokój. A to już bardzo dużo.
Katarzyna Witkowska
e-mail: