Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

05 maj 2021
Ryszard Kluska

Nasze dotychczasowe doświadczenia w obszarze zapewnienia zgodności z wymaganiami RODO wskazują, że częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych. Zagadnienia te w szczególności dotyczą organizacji o rozbudowanej strukturze organizacyjnej oraz korzystających z usług wielu podmiotów przetwarzających.

W związku z powyższym, proces realizacji praw podmiotów danych jest przez nas weryfikowany podczas realizacji Audytu zgodności z RODO (link do produktu AUDYT RODO). W trakcie jednego z takich badań, różnymi kanałami komunikacji (telefon, wiadomość e-mail, pismo tradycyjne), złożyliśmy 12 żądań w imieniu fikcyjnych osób, w tym:

  • Wniosek o usunięcie danych osobowych (art. 17 RODO),
  • Wycofanie zgody na cele marketingowe (art. art. 7 ust. 3 RODO),
  • Wniosek o udzielenie informacji odnośnie danych osobowych (art. 15 RODO).

Dodatkowo, w audytowanej organizacji, przyjęty sposób postępowania na wypadek otrzymania żądania o realizację praw podmiotów polegał na zobligowaniu wszystkich pracowników do przekazywania otrzymanych żądań podmiotów danych do IOD dowolnym kanałem komunikacji. Sposób ten  został także uregulowany w Polityce Ochrony Danych Osobowych oraz stanowił istotną część obligatoryjnych szkoleń dla pracowników.

Mimo to, spośród 12 złożonych żądań tylko 4 ostatecznie trafiły do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania do IOD wahał się między 3 a 9 dniami.

Zgodnie z wymaganiem art. 12 ust. 3 RODO, Administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem. Brak udzielenia odpowiedzi osobie wnoszącej żądanie  może narazić Organizację na poważne problemy spowodowane naruszeniem praw i wolności podmiotu danych, a w konsekwencji wszczęciem postępowania administracyjnego przez UODO.

Analogiczne badanie audytowe powtórzyliśmy po rocznym odstępie czasu oraz po przeprowadzeniu procesu implementacji platformy BPM RODO. Tym razem spośród 12 złożonych żądań 12 trafiło do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania IOD wyniósł maksymalnie 24 godziny.

Dzięki temu, że platforma BPM RODO nie posiada ograniczeń dotyczących ilości użytkowników, to każdemu z pracowników organizacji dajemy możliwość przekierowania żądania osoby, której dane dotyczą do IOD. Sekretem skuteczności naszego rozwiązania jest łatwość i szybkość obsługi przy jednoczesnym zapewnieniu pełnej rozliczalności i poprawności przebiegu procesu.

 

#Bezpieczeństwo
#IT
#Testy

Zobacz także

21 mar
#IOD
Ochrona danych osobowych w samorządach: Analiza problemu i rekomendacje Najwyższej Izby Kontroli

W ostatnich latach coraz częściej podnoszona jest kwestia bezpieczeństwa przetwarzania danych osobowych w jednostkach samorządowych. W związku z doniesieniami o zaniedbaniach i nieprawidłowościach w tym obszarze, Najwyższa Izba Kontroli (NIK) podjęła się kontroli mającej na celu ocenę stanu ochrony danych osobowych przechowywanych w formie elektronicznej przez jednostki samorządowe.

Czytaj dalej arrow
15 mar
#Wydarzenia
Czego uczy nas spór na linii Morele.net oraz UODO?

Już ponad 3,8 miliona złotych kary dla morele.net – czym zasłużyła sobie Spółka? Prezes Urzędu Ochrony Danych Osobowych nie odpuszcza!

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow