Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

Nasze dotychczasowe doświadczenia w obszarze zapewnienia zgodności z wymaganiami RODO wskazują, że częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych. Zagadnienia te w szczególności dotyczą organizacji o rozbudowanej strukturze organizacyjnej oraz korzystających z usług wielu podmiotów przetwarzających.

W związku z powyższym, proces realizacji praw podmiotów danych jest przez nas weryfikowany podczas realizacji Audytu zgodności z RODO (link do produktu AUDYT RODO). W trakcie jednego z takich badań, różnymi kanałami komunikacji (telefon, wiadomość e-mail, pismo tradycyjne), złożyliśmy 12 żądań w imieniu fikcyjnych osób, w tym:

• Wniosek o usunięcie danych osobowych (art. 17 RODO),
• Wycofanie zgody na cele marketingowe (art. art. 7 ust. 3 RODO),
• Wniosek o udzielenie informacji odnośnie danych osobowych (art. 15 RODO).

Dodatkowo, w audytowanej organizacji, przyjęty sposób postępowania na wypadek otrzymania żądania o realizację praw podmiotów polegał na zobligowaniu wszystkich pracowników do przekazywania otrzymanych żądań podmiotów danych do IOD dowolnym kanałem komunikacji. Sposób ten  został także uregulowany w Polityce Ochrony Danych Osobowych oraz stanowił istotną część obligatoryjnych szkoleń dla pracowników.

Mimo to, spośród 12 złożonych żądań tylko 4 ostatecznie trafiły do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania do IOD wahał się między 3 a 9 dniami.

Zgodnie z wymaganiem art. 12 ust. 3 RODO, Administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem. Brak udzielenia odpowiedzi osobie wnoszącej żądanie  może narazić Organizację na poważne problemy spowodowane naruszeniem praw i wolności podmiotu danych, a w konsekwencji wszczęciem postępowania administracyjnego przez UODO.

Analogiczne badanie audytowe powtórzyliśmy po rocznym odstępie czasu oraz po przeprowadzeniu procesu implementacji platformy BPM RODO. Tym razem spośród 12 złożonych żądań 12 trafiło do IOD, a okres jaki minął od momentu ich pozyskania przez organizację do przekazania IOD wyniósł maksymalnie 24 godziny.

Dzięki temu, że platforma BPM RODO nie posiada ograniczeń dotyczących ilości użytkowników, to każdemu z pracowników organizacji dajemy możliwość przekierowania żądania osoby, której dane dotyczą do IOD. Sekretem skuteczności naszego rozwiązania jest łatwość i szybkość obsługi przy jednoczesnym zapewnieniu pełnej rozliczalności i poprawności przebiegu procesu.