Cofnięcie upoważnienia do przetwarzania
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Rozporządzenie RODO.
Jest rzeczą oczywistą, to co napisane zostało na wstępie. Tak samo jak to, iż administrator powinien przestrzegać zasad przetwarzania danych określonych przepisem art. 5 Rozporządzenia RODO. Nie jest jednak, już tak kategoryczna świadomość administratorów, iż nie przestrzeganie ww. zasad oraz brak możliwości wykazania ich przestrzegania, stanowi podstawę do pociągnięcia ich do odpowiedzialności na gruncie RODO.
Cofnięcie upoważnienia do przetwarzani danych osobowych.
Przekładając powyższe na tematykę opracowania, czyli weryfikację poprawności cofnięcia upoważnienia wskazujemy na zasadność wprowadzenia i stosować odpowiednich reguł, procedur postępowania. Procedury, które pozwolą na stworzenie gwarancji poprawności realizacji ww. obowiązku administratora w szerszym aspekcie, aniżeli tylko i wyłącznie ograniczenie się do formalnego wydania dokumentu zawierającego oświadczenie o cofnięciu upoważnienia dla osoby byłego pracownika, zleceniobiorcy, wykonawcy.
Ustanie podstawy prawnej statuującej polecenie przetwarzania.
Zazwyczaj w tym zakresie administratorzy, jako pracodawcy, zleceniodawcy, zamawiający znają swoje obowiązki i w sposób skuteczny i zgodny z prawem dokonują rozwiązania więzi prawnej łączącej ich z osobą pracownika, zleceniobiorcy, wykonawcy. Należy mieć jednak świadomość tego, iż rozwiązanie umowy, jej wygaśnięcie nie jest elementem wystarczającym na gruncie przepisów Rozporządzenia RODO, aby uznać iż wszystkie zadania administratora danych osobowych związane z organizacją procesu przetwarzania danych, zostały skutecznie zrealizowane.
Cofnięcie udzielonego upoważnienia do przetwarzania danych osobowych.
Pomimo, iż procedura wydaje się być oczywista i klarowna, niestety wciąż administratorzy danych osobowych skłonni są do pozostawania w przekonaniu, iż wystarczającym jest tylko i wyłącznie wygaszenie podstawy prawnej statuującej polecenie przetwarzania. Cofnięcie upoważnienia do przetwarzania jest elementem, który nie jest dostrzegany, jako konieczny. Powagi sprawie dodaje fakt, iż struktura organizacyjna administratora w sposób istotny wpływa na zakres czynności koniecznych do realizacji dla osiągnięcia efektu końcowego. Rodzaj czynności powinien bowiem uwzględniać takie zmienne jak:
- Przetwarzanie danych jedynie w siedzibie administratora
- Przetwarzanie danych poza siedzibą administratora
- Korzystanie z systemów informatycznych z wykorzystaniem zdalnego dostępu
- Korzystanie z systemów informatycznych z wykorzystaniem korespondencji elektronicznej
Stałe monitorowanie kanałów dostępu.
Stałe monitorowanie kanałów dostępu, pomimo prawidłowego wykonania ww. kroków, jest wciąż obowiązkiem administratora, który to musi mieć w świadomości fakt, iż podjął swoje działania względem osoby byłego pracownika, zleceniobiorcy, wykonawcy, w różnych okolicznościach stanu faktycznego. Często właśnie aspekt psychologiczny, relacje interpersonalne panujące w firmie, okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej łączącej z pracownikiem, zleceniobiorcą, wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów firmy. Zwracamy jednak uwagę na coś co również jest niedostrzegane. Nie zawsze takim byłym pracownikiem, zleceniobiorcą, czy wykonawcą kierują negatywne przesłanki i złe zamiary, czasami jest to po prostu ludzka ciekawość. Ciekawość przejawiająca się np. w tym, czy cofnięto mu uprawnienia do logowania się do poczty służbowej, czy wciąż aktywne jest przekierowanie poczty elektronicznej, czy nadal posiada aktywny login do systemu zamówień. Cofnięcie upoważnienia do przetwarzania formalne nie jest, jak widzimy jedyną czynnością, jaką należy wykonać.
Konsekwencje poniesie przede wszystkim administrator .
Administratorzy, jako przedsiębiorcy powinni mieć świadomość tego, iż to oni poniosą najdotkliwsze konsekwencje swoich zaniechań.
- Biznesowe
- Wizerunkowe
- Finansowe
Studium przypadku – czyli z życia wzięte.
Identyfikator
Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.
Zdalny dostęp
Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.
Zmiana stanowiska
Pracownik, zleceniobiorca, wykonawca zaangażowany był w procesy administratora, piastując wysokie stanowisko służbowe, przez co zarządzał on zadaniami w ramach procesów, a co za tym idzie miał wgląd i nadzór nad poprawnością ich realizacji, przeglądu dokonywał z wykorzystaniem systemu informatycznego wewnętrznego, tymczasem jednak, po przeniesieniu ww. osoby na inne niżej sytuowane stanowisko, nie zostały zmienione jego uprawnienia w ww. systemie.
Prywatny laptop
Przedstawiciel handlowy odpowiedzialny za utrzymanie prawidłowych relacji z klientami, oraz budowanie bazy nowych klientów, wykorzystywał do pracy prywatny sprzęt komputerowy. Milczące przyzwolenie administratora wynikało z faktu oszczędności, jakie dzięki temu wygenerowano – nie musiał wyposażać pracownika w służbowy telefon, laptop oraz z faktu, iż ww. przedstawiciel osiągał znacząco lepsze wyniki w realizacji zakładanych mu planów sprzedażowych, właśnie ze względu na swoją umiejętność organizacji pracy i dostępność dla klientów. Niestety jednak po rozstaniu się z ww. pracownikiem administrator pozbawiony został nie tylko bazy klientów, obsługiwanych przez przedstawiciela, jak i musi zaakceptować fakt, iż przedstawiciel może podjąć próbę wykorzystania posiadanych informacji np. kontaktując się z konkurencją.
Elektroniczny obieg dokumentów
Pracownik, zleceniobiorca, wykonawca, jako osoba uprawniona do zarządzania systemem elektronicznego obiegu dokumentacji w firmie, tworzył go od podstaw, budował i rozbudowywał. Jego obowiązkiem było także czuwanie nad poprawnością funkcjonowania systemu i reagowanie w sytuacjach kryzysowych. Z tego względu system wyposażony został w komunikator informujący jego administratora o nieprawidłowym i prawidłowym działaniu. Niestety jednak nie zostały wygaszone uprawnienia administratora na skutek, czego automatycznie wciąż system przesyła do niego komunikaty informujące go o poprawności wprowadzenia do systemu kolejnych to dokumentów firmowych np. decyzje o przyznaniu nagrody, drafty umów, treści umów zawartych z kooperantami, skończywszy na aktach osobowych pracowników.
Uprawnienia administratora
Pracownik jednostki medycznej otrzymał prawo dostępu do systemu teleinformatycznego, jednak zakres jego uprawnień w systemie nie został dostosowany do faktycznie realizowanych przez niego obowiązków, przez co miał on możliwość tworzenia kont innym użytkownikom, co miało miejsce w sytuacji, kiedy to pracownik służby informatycznej, nie był obecny w pracy, lub zachodziła „potrzeba” szybkiego stworzenia dostępu dla nowego pracownika.
Procedura wygaszania uprawnień do przetwarzania
Opis czynności, jakie należy wykonać wygaszając uprawnienia użytkownika do przetwarzania przez niego danych osobowych.
Procedura sprawdzająca poprawność wygaszenia uprawnień użytkownika po cofnięciu upoważnienia do przetwarzania danych.
29,00 pln
Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.
149,00 pln
Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.
198,00 pln
Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla małych i średnich firm.
799,00 pln
Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.