Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

05 maj 2021
Ryszard Kluska

Nasze dotychczasowe doświadczenia w obszarze zapewnienia zgodności z wymaganiami RODO wskazują, że częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych. Zagadnienia te w szczególności dotyczą organizacji o rozbudowanej strukturze organizacyjnej oraz korzystających z usług wielu podmiotów przetwarzających.

W związku z powyższym, proces realizacji praw podmiotów danych jest przez nas weryfikowany podczas realizacji Audytu zgodności z RODO (link do produktu AUDYT RODO). W trakcie jednego z takich badań, różnymi kanałami komunikacji (telefon, wiadomość e-mail, pismo tradycyjne), złożyliśmy 12 żądań w imieniu fikcyjnych osób, w tym:

  • Wniosek o usunięcie danych osobowych (art. 17 RODO),
  • Wycofanie zgody na cele marketingowe (art. art. 7 ust. 3 RODO),
  • Wniosek o udzielenie informacji odnośnie danych osobowych (art. 15 RODO).

Dodatkowo, w audytowanej organizacji, przyjęty sposób postępowania na wypadek otrzymania żądania o realizację praw podmiotów polegał na zobligowaniu wszystkich pracowników do przekazywania otrzymanych żądań podmiotów danych do IOD dowolnym kanałem komunikacji. Sposób ten  został także uregulowany w Polityce Ochrony Danych Osobowych oraz stanowił istotną część obligatoryjnych szkoleń dla pracowników.

Mimo to, spośród 12 złożonych żądań tylko 4 ostatecznie trafiły do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania do IOD wahał się między 3 a 9 dniami.

Zgodnie z wymaganiem art. 12 ust. 3 RODO, Administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem. Brak udzielenia odpowiedzi osobie wnoszącej żądanie  może narazić Organizację na poważne problemy spowodowane naruszeniem praw i wolności podmiotu danych, a w konsekwencji wszczęciem postępowania administracyjnego przez UODO.

Analogiczne badanie audytowe powtórzyliśmy po rocznym odstępie czasu oraz po przeprowadzeniu procesu implementacji platformy BPM RODO. Tym razem spośród 12 złożonych żądań 12 trafiło do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania IOD wyniósł maksymalnie 24 godziny.

Dzięki temu, że platforma BPM RODO nie posiada ograniczeń dotyczących ilości użytkowników, to każdemu z pracowników organizacji dajemy możliwość przekierowania żądania osoby, której dane dotyczą do IOD. Sekretem skuteczności naszego rozwiązania jest łatwość i szybkość obsługi przy jednoczesnym zapewnieniu pełnej rozliczalności i poprawności przebiegu procesu.

 

#bezpieczeństwo
#IT
#Testy

Zobacz także

19 kw.
#bezpieczeństwo
#IT
#RODO
Czy jako Administrator potrafisz dobrać właściwe zabezpieczenia techniczne i organizacyjne niezbędne do zapewnienia zgodności z RODO?

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu. Kara nie jest spektakularna pod względem wysokości (10 000 zł) i została nałożona już w zeszłym roku, ale mimo wszystko warto na nią zwrócić uwagę.

Czytaj dalej arrow
01 mar
#bezpieczeństwo
#IT
#RODO
#Testy
„Kontrola” najwyższą formą zaufania – o tym dlaczego warto audytować swoich procesorów?

28 lutego br. na stronie UODO pojawiła się informacja o administracyjnej karze pieniężnej. Została ona nałożona na Spółkę Fortum Marketing and Sales Polska. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 4 911 732 zł.

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow