RODO -> 10 miesięcy po

Informacja o pierwszej w Polsce karze finansowej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych odbiła się szerokim echem na rynku i licznymi komentarzami.

Rozstrzygnięcie PUODO skłoniło nas do podzielenia się z Państwem wnioskami płynącymi z dziesiątków audytów i symulowanych kontroli PUODO, jakie w ostatnich miesiącach przeprowadziliśmy wśród przedsiębiorców z różnych branż:

1. Ponad połowa zweryfikowanych przez nas podmiotów nie prowadzi w ogóle albo nie aktualizuje już prowadzonego rejestru czynności (mimo takiego obowiązku). Zestawienie rejestru czynności z treścią obowiązków informacyjnych bardzo często ujawnia istotne rozbieżności w oby tych dokumentach;
2. Zdecydowana większość przedsiębiorców nie stosuje pisemnej informacji o monitoringu pracowników i nie umieszcza tej informacji zgodnie z przepisami w części B akt pracowniczych;
3. W około 20% przypadków wciąż nie przeprowadzono albo nie ukończono oceny ryzyka oraz oceny skutków (DPIA);
4. Ponad połowa przedsiębiorców przeprowadziła szkolenia z zakresu ochrony danych osobowych wyłącznie w okolicach maja 2018 – aktualnie szkolenia nie są ani powtarzane, ani uzupełniane;
5. Średnia przypadająca na podmiot (biorąc pod uwagę wszystkie obsługiwane branże) to około kilkunastu skarg na nieprawidłowe przetwarzanie danych osobowych w skali miesiąca oraz około kilkudziesięciu żądań podmiotów danych;
6. Najczęściej pojawia się żądanie usunięcia danych oraz sprzeciw wobec ich przetwarzania. Korzystanie z prawa do ograniczenia przetwarzania czy przenoszenia danych stanowi jednostkowe przypadki;
7. Praktycznie wszystkie zbadane podmioty realizują żądania w terminach wynikających z RODO;
8. Jedynie nieliczni przedsiębiorcy (administratorzy) przeprowadzają kontrole u swoich podmiotów przetwarzających dane osobowe (mimo takich uprawnień);
9. W dalszym ciągu część podmiotów mierzy się z wyzwaniem na poziomie bezpieczeństwa organizacyjnego – zabezpieczenie pomieszczeń, miejsca przechowywania dokumentów, lokalizacja serwerowni, ścieżki obsługi osób postronnych/gości czy kierowców;
10. W dużej części dotychczas zbadanych podmiotów istniała konieczność zabezpieczenia kwestii transferu danych do państw trzecich (głównie USA), jak również niezauważana była kwestie współadministrowania danymi.

W szerszej perspektywie obserwujemy natomiast duży wzrost znaczenia kwestii ochrony danych osobowych w procesach inwestycyjnych, w tym M&A Kwestie związane z weryfikacją dokumentacji przedsiębiorstwa w tym obszarze oraz udostępnianiem określonych danych stają się często ważnym elementem relacji pomiędzy kupującym a sprzedającym (inwestującym), w ostateczności mogącym kształtować warunki i przebieg transakcji.

W kwietniu tego roku, wraz ze zmianą osoby piastującej stanowisko Prezesa UODO, spodziewamy się zmiany podejścia organu. Przewidywaniami popartymi udziałem w wysłuchaniu obywatelskim kandydatów (aktualnie jedna osoba), podzielimy się chętnie z Państwem w osobnej korespondencji / przy okazji spotkań z serii #RODOwS, #WRODO, #RODOś, #Wielko_RODO.