Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

05 maj 2021
Ryszard Kluska

Nasze dotychczasowe doświadczenia w obszarze zapewnienia zgodności z wymaganiami RODO wskazują, że częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych. Zagadnienia te w szczególności dotyczą organizacji o rozbudowanej strukturze organizacyjnej oraz korzystających z usług wielu podmiotów przetwarzających.

W związku z powyższym, proces realizacji praw podmiotów danych jest przez nas weryfikowany podczas realizacji Audytu zgodności z RODO (link do produktu AUDYT RODO). W trakcie jednego z takich badań, różnymi kanałami komunikacji (telefon, wiadomość e-mail, pismo tradycyjne), złożyliśmy 12 żądań w imieniu fikcyjnych osób, w tym:

  • Wniosek o usunięcie danych osobowych (art. 17 RODO),
  • Wycofanie zgody na cele marketingowe (art. art. 7 ust. 3 RODO),
  • Wniosek o udzielenie informacji odnośnie danych osobowych (art. 15 RODO).

Dodatkowo, w audytowanej organizacji, przyjęty sposób postępowania na wypadek otrzymania żądania o realizację praw podmiotów polegał na zobligowaniu wszystkich pracowników do przekazywania otrzymanych żądań podmiotów danych do IOD dowolnym kanałem komunikacji. Sposób ten  został także uregulowany w Polityce Ochrony Danych Osobowych oraz stanowił istotną część obligatoryjnych szkoleń dla pracowników.

Mimo to, spośród 12 złożonych żądań tylko 4 ostatecznie trafiły do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania do IOD wahał się między 3 a 9 dniami.

Zgodnie z wymaganiem art. 12 ust. 3 RODO, Administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem. Brak udzielenia odpowiedzi osobie wnoszącej żądanie  może narazić Organizację na poważne problemy spowodowane naruszeniem praw i wolności podmiotu danych, a w konsekwencji wszczęciem postępowania administracyjnego przez UODO.

Analogiczne badanie audytowe powtórzyliśmy po rocznym odstępie czasu oraz po przeprowadzeniu procesu implementacji platformy BPM RODO. Tym razem spośród 12 złożonych żądań 12 trafiło do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania IOD wyniósł maksymalnie 24 godziny.

Dzięki temu, że platforma BPM RODO nie posiada ograniczeń dotyczących ilości użytkowników, to każdemu z pracowników organizacji dajemy możliwość przekierowania żądania osoby, której dane dotyczą do IOD. Sekretem skuteczności naszego rozwiązania jest łatwość i szybkość obsługi przy jednoczesnym zapewnieniu pełnej rozliczalności i poprawności przebiegu procesu.

 

#Bezpieczeństwo
#IT
#Testy

Zobacz także

27 maj
#RODO
Audyt RODO (cena) – Dowiedz się wszystkiego o audycie RODO

Zgodność z Rozporządzeniem o Ochronie Danych Osobowych (RODO) to nie tylko obowiązek, ale również realna wartość biznesowa. Przeprowadzenie audytu RODO pozwala zidentyfikować ryzyka, uporządkować procesy i uniknąć kosztownych sankcji. Dowiedz się, czym jest audyt RODO, jak wygląda proces, jaka jest cena audytu RODO i dlaczego warto zlecić go ekspertom.

Czytaj dalej arrow
19 maj
#Bezpieczeństwo
Dyrektywa NIS2 – Wodociągi: Cyberbezpieczeństwo w branży wodociągowowej i kanalizacyjnej

Bezpieczeństwo systemów IT i OT w sektorze wodociągowo-kanalizacyjnym zyskuje nowe znaczenie w świetle unijnych regulacji, takich jak dyrektywa NIS-2 oraz krajowych inicjatyw jak Cyberbezpieczny Wodociąg. Dzięki środkom z Krajowego Planu Odbudowy (KPO) rusza nowy konkurs grantowy wspierający cyfrowe zabezpieczenia tego krytycznego sektora.

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow