Określenie ryzyka związanego z przetwarzaniem danych osobowych, przeprowadzenie oceny skutków dla ochrony danych, modyfikacja istniejących i wdrożenie nowych procedur zgodnie z przepisami spoczywa na Administratorze Danych Osobowych (ADO). Takim Administratorem w ramach prowadzonej działalności jest Bank Spółdzielczy, natomiast obowiązki ADO pełni Zarząd. Członkowie Zarządu powinni podejmować wszelkie działania zmierzające do zaplanowania i wdrożenia regulacji przewidzianych w RODO oraz aktywnie uczestniczyć w całym procesie, ponieważ w ich interesie jest gromadzenie dowodów dochowania należytej staranności w zakresie przechowywania danych osobowych, gdyż skutki naruszenia RODO mogą poważnie dotknąć ich osobiście.
Administrator danych osobowych odpowiada za szkody spowodowane przetwarzaniem, gdy nie dopełnił obowiązków, wynikających z rozporządzenia RODO. Skutkiem naruszeń mogą być nałożone kary finansowe, zadośćuczynienie i utrata wizerunku Banku. W skrajnych przypadkach, jeśli przetwarzanie spowodowało poważne i trudne do usunięcia skutki, Prezes UODO może zobowiązać podmiot, któremu zarzucane jest naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania, co może docelowo sparaliżować działalność Banku.
Dlatego też należyta staranność wymaga od członków zarządu znajomości obowiązujących przepisów prawnych a także, zgodnie z zasadą rozliczalności, umiejętności wykazania ich przestrzegania. Decyzje zarządu, mogą opierać się na analizie problemu dokonanej przez wyznaczonych pracowników Banku lub podmioty zewnętrzne, które dysponują niezbędną wiedzą specjalistyczną oraz doświadczeniem. Jednak samo powierzenie problemu osobie zajmującej się zawodowo określoną domeną i posiadającej stosowne wykształcenie, nie jest jednoznaczne z dochowaniem należytej staranności. Zarząd Banku nie może przerzucać odpowiedzialności za podejmowane decyzje na osoby mu podległe, czy działające na jego rzecz.
Wyznaczając w Banku Inspektora Ochrony Danych lub powierzając tę funkcję firmie outsourcingowej Zarząd Banku powinien pamiętać o okresowej kontroli oraz monitorowaniu prowadzonych działań i wdrożonych procesów w zakresie przetwarzania danych osobowych zlecając przeprowadzanie cyklicznego audytu zgodności z RODO. Taki audyt należało przeprowadzić zarówno przed wdrożeniem procedur RODO, jak i w trakcie obowiązywania przepisów. Jednorazowe przeprowadzenie audytu jest niewystarczające, ponieważ każdy podmiot przetwarzający dane osobowe na bieżąco powinien zgodnie z rozporządzeniem RODO kontrolować, czy stosowane przez niego metody ochrony danych odpowiadają zakresowi przetwarzanych informacji i czy są wystarczające dla zapewnienia ich pełnego bezpieczeństwa.
RODO obecnie wprowadziło zupełnie inne podejście do ochrony danych osobowych i nie dotyczy tylko tzw. zakresu roboty papierkowej, gdzie sporządzona dokumentacja trafia na półkę do ewentualnej kontroli, ale wymaga podejścia procesowego . Do prawidłowego prowadzenia polityki RODO niezbędna jest doświadczenie w zarządzaniu bezpieczeństwem informacji oraz infrastrukturą teleinformatyczną, dlatego ścisła współpraca z działem IT w tym przypadku jest konieczna. Procesy przetwarzania danych powinny być odpowiednio zarządzane i zabezpieczane, aby dane osobowe nie zostały narażone na utratę poufności, dostępności oraz integralności. IOD oraz zewnętrzny podmiot outsourcingowy, bez odpowiedniej wiedzy, nie są do końca w stanie zweryfikować luk w zabezpieczeniach technologicznych infrastruktury Banku oraz bezpieczeństwie środowiska fizycznego, przeprowadzić w tym zakresie dokładną analizę ryzyka i dobrać stosowne środki zapewnienia odpowiedniego poziomu ochrony danych osobowych. Należy pamiętać też o czynniku ludzkim, pomyłkach niezauważanych przy wykonywaniu codziennych czynności lub błędach przy powielaniu tej samej dokumentacji przekazywanej pomiędzy bankami, które często zauważa dopiero zewnętrzny audytor. Postronny audytor nie tylko wskaże luki i obszary do poprawy, ale zwróci uwagę też na wrażliwe elementy, z którymi wewnętrzny pracownik może mieć kłopot i odczuwać konflikt interesów lub obawiać się, że jego uwagi zostaną źle odebrane.
Audyt zgodności z RODO to jedno z najbardziej wartościowych źródeł wiedzy o tym, co w Banku funkcjonuje nieprawidłowo, co warto zmienić i w jaki sposób tego dokonać. Profesjonalnie i bezstronnie przeprowadzona kontrola niesie za sobą wiele niewspółmiernych korzyści, dlatego nie należy jej traktować personalnie i podchodzić do niej emocjonalnie, ponieważ jest to narzędzie, którego zadaniem jest poprawa funkcjonowania wdrożonych procesów w banku, a nie nieprzyjemny epizod dla pracowników.
Na zakończenie przypominamy, że w 2020 roku Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych, zgodnie z którym w bankach miały być przeprowadzane kontrole pod kątem kopiowania dokumentów tożsamości. Przy tej kontroli miały być również prowadzone działania w zakresie weryfikacji funkcjonującego procesu przetwarzania danych osobowych w instytucjach finansowych. Niespodziewanie działania te zostały pokrzyżowane przez sytuację epidemiologiczną w kraju, jednak należy spodziewać się rychłego ich wznowienia. Nie czekajmy do oporu na zapowiedź kontroli, bądź pojawienie się niepożądanego incydentu, bo może zabraknąć czasu na właściwe przygotowanie się do czynności nadzorczych UODO.
Zapraszamy do składania zapytań o Audyt Systemu Ochrony Danych Osobowych zgodnie z wymaganiami RODO: https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zgodnosci-z-rodo/
Servus Comp Data Security, Świętokrzyska 12/403 30-015 Kraków
tel. +48 608 407 668, +48 12 631 91 22 barbara.dyka@servus-comp.pl
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.