Kto jest Twoim ulubionym autorem?

Alerty DZP.

RODO -> 10 miesięcy po

01.04.2019

Autorzy:
Dr Bartosz Marcinkowski

Informacja o pierwszej w Polsce karze finansowej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych odbiła się szerokim echem na rynku i licznymi komentarzami.

Rozstrzygnięcie PUODO skłoniło nas do podzielenia się z Państwem wnioskami płynącymi z dziesiątków audytów i symulowanych kontroli PUODO, jakie w ostatnich miesiącach przeprowadziliśmy wśród przedsiębiorców z różnych branż:

  1. Ponad połowa zweryfikowanych przez nas podmiotów nie prowadzi w ogóle albo nie aktualizuje już prowadzonego rejestru czynności (mimo takiego obowiązku). Zestawienie rejestru czynności z treścią obowiązków informacyjnych bardzo często ujawnia istotne rozbieżności w oby tych dokumentach;
  2. Zdecydowana większość przedsiębiorców nie stosuje pisemnej informacji o monitoringu pracowników i nie umieszcza tej informacji zgodnie z przepisami w części B akt pracowniczych;
  3. W około 20% przypadków wciąż nie przeprowadzono albo nie ukończono oceny ryzyka oraz oceny skutków (DPIA);
  4. Ponad połowa przedsiębiorców przeprowadziła szkolenia z zakresu ochrony danych osobowych wyłącznie w okolicach maja 2018 – aktualnie szkolenia nie są ani powtarzane, ani uzupełniane;
  5. Średnia przypadająca na podmiot (biorąc pod uwagę wszystkie obsługiwane branże) to około kilkunastu skarg na nieprawidłowe przetwarzanie danych osobowych w skali miesiąca oraz około kilkudziesięciu żądań podmiotów danych;
  6. Najczęściej pojawia się żądanie usunięcia danych oraz sprzeciw wobec ich przetwarzania. Korzystanie z prawa do ograniczenia przetwarzania czy przenoszenia danych stanowi jednostkowe przypadki;
  7. Praktycznie wszystkie zbadane podmioty realizują żądania w terminach wynikających z RODO;
  8. Jedynie nieliczni przedsiębiorcy (administratorzy) przeprowadzają kontrole u swoich podmiotów przetwarzających dane osobowe (mimo takich uprawnień);
  9. W dalszym ciągu część podmiotów mierzy się z wyzwaniem na poziomie bezpieczeństwa organizacyjnego – zabezpieczenie pomieszczeń, miejsca przechowywania dokumentów, lokalizacja serwerowni, ścieżki obsługi osób postronnych/gości czy kierowców;
  10. W dużej części dotychczas zbadanych podmiotów istniała konieczność zabezpieczenia kwestii transferu danych do państw trzecich (głównie USA), jak również niezauważana była kwestie współadministrowania danymi.

 

W szerszej perspektywie obserwujemy natomiast duży wzrost znaczenia kwestii ochrony danych osobowych w procesach inwestycyjnych, w tym M&A Kwestie związane z weryfikacją dokumentacji przedsiębiorstwa w tym obszarze oraz udostępnianiem określonych danych stają się często ważnym elementem relacji pomiędzy kupującym a sprzedającym (inwestującym), w ostateczności mogącym kształtować warunki i przebieg transakcji.

W kwietniu tego roku, wraz ze zmianą osoby piastującej stanowisko Prezesa UODO, spodziewamy się zmiany podejścia organu. Przewidywaniami popartymi udziałem w wysłuchaniu obywatelskim kandydatów (aktualnie jedna osoba), podzielimy się chętnie z Państwem w osobnej korespondencji / przy okazji spotkań z serii #RODOwS, #WRODO, #RODOś, #Wielko_RODO.