Jak przeprowadzić audyt RODO?
Chcesz zweryfikować prawidłowość wdrożenia RODO w twojej firmie? Zastanawiasz się, jakie czynności należy podjąć w celu pełnego wdrożenia RODO? Czy też nie wiesz, które wytyczne musisz spełnić, a które są fakultatywne? Z artykułu dowiesz się:
- co należy sprawdzić w toku audytu wdrożenia RODO,
- jakie dodatkowe obowiązki wprowadza RODO,
- od których obowiązków RODO przewiduje wyjątki.
Audyt RODO – od czego zacząć?
W ramach weryfikacji poziomu dostosowania zasad przetwarzania i ochrony danych osobowych w twoim przedsiębiorstwie, powinieneś przeprowadzić co najmniej następujące analizy stanu faktycznego i prawnego:
- konieczność prowadzenia w firmie rejestru czynności przetwarzania danych:
Obowiązek ten nie ma zastosowania do przedsiębiorcy zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych szczególnych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa,
- konieczność prowadzenia w firmie rejestru kategorii czynności przetwarzania:
Rejestr ten prowadzony jest przez podmioty przetwarzające dane osobowe na podstawie umowy powierzenia zawartej z administratorem danych. Jeżeli zatem występujesz w roli podmiotu przetwarzającego, to możesz być zobowiązany do prowadzenia tego rejestru. Zastosowanie znajduje tu wyjątek dla podmiotów zatrudniających mniej niż 250 osób.
- celowość powołania w firmie inspektora ochrony danych osobowych:
Obecnie obowiązek taki ciąży na: jednostkach sektora finansów publicznych oraz instytutach badawczych, a także podmiotów których:
- a) główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (np. straże gminne i miejskie, agencje ochrony mienia),
- b) główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych szczególnych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (np. szpitale),
- weryfikacja umów o powierzenie przetwarzania danych osobowych pod kątem zgodności z wymogami stawianymi przez RODO,
- sprawdzenie, czy podmiot, który przetwarza dane osobowe na mocy umowy powierzenia albo podpowierzenia danych osobowych spełnia wymogi stawiane takim jednostkom przez RODO,
RODO wprowadziło kilka zmian w umowach powierzenia, prócz wskazania katalogu elementów, które obligatoryjnie muszą się w takiej umowie znaleźć, uregulowano instytucję dalszego powierzenia (podpowierzenia) danych osobowych. Jeżeli zatem będziesz występował w roli podmiotu przetwarzającego, to przekazanie danych osobowych twojemu podwykonawcy lub współpracownikowi, wymagać będzie zgody administratora danych. Ta zaś będzie mogła być albo ogólna (na określone kategorie podmiotów) albo szczegółowa (na określone z nazwy podmioty).
Rozporządzenie precyzuje również obowiązki ciążące na podmiotach przetwarzających oraz wprowadza uprawnienie administratora danych do kontroli podmiotu przetwarzającego w zakresie prawidłowego ich wykonywania. W umowach powierzenia najczęściej dookreśla się sposób wykonywania tychże obowiązków oraz kontroli.
- weryfikacja, czy istnieje przesłanka umożliwiająca legalne przetwarzanie danych osobowych,
RODO definiuje odrębnie przesłanki przetwarzania danych osobowych „zwykłych”, a także szczególnych kategorii. Co więcej, aby dane osobowe były legalne, musisz je przetwarzać zgodnie z zasadami wprowadzonymi przez RODO. Wśród nich na szczególną uwagę zasługują:
- a) zasada minimalizacji danych – możesz przetwarzać jedynie dane osobowe niezbędne do realizacji określonego przez ciebie celu,
- b) zasada ograniczonego przechowania – po osiągnięciu celu przetwarzania lub jego odpadnięciu, powinieneś usunąć dane osobowe (tzw. retencja danych).
Powinieneś zatem sprawdzić, czy istnieje jedna z przesłanek uprawniających cię do przetwarzania danych (np. zgoda, osoby której dane dotyczą), czy gromadzisz wyłącznie dane niezbędne do określonego celu, czy cel ten jest nadal aktualny. Jeżeli którakolwiek z tych przesłanek nie istnieje, dane powinieneś usunąć albo zanonimizować.
- weryfikacja, czy udzielone ADO zgody na przetwarzanie danych osobowych odpowiadają wymogom RODO,
Pod rządami RODO zgoda musi być: dobrowolna, konkretna (na konkretny, wskazany cel), świadoma i jednoznaczna. Jeżeli odebrane przez ciebie uprzednio zgody nie spełniają tych przesłanek, nie będą ważne na gruncie RODO. Przykładowo, straciła ważność zgoda:
- a) zamieszczona w regulaminie serwisu internetowego,
- b) odebrana łącznie z innymi zgodami w jednym oświadczeniu,
- c) odebrana poprzez jej domyślne zaznaczenie w formularzu.
- sprawdzenie treści upoważnień do wykonywania operacji na zbiorach danych osobowych oraz prawidłowości prowadzenia ewidencji tychże upoważnień,
Każda osoba dopuszczana przez ciebie do pracy z danymi osobowymi powinna legitymować się upoważnieniem wydanym przez pracodawcę.
- ocena zgodności z RODO informacji przekazywanych osobom, których dane osobowe zostały pozyskane w celu ich przetwarzania,
RODO precyzyjnie określa, jakie informacje należy przekazać osobie, której dane są gromadzone czy to bezpośrednio od niej, czy też za pośrednictwem innego podmiotu. W rozporządzeniu wskazano także terminy wykonania tego obowiązku. Co ważne, jego niewykonanie traktowane jest, jak istotne naruszenie rozporządzenia. Konieczna jest zatem weryfikacja treści klauzul i ich uzupełnienie.
- opracowanie nowej procedury postępowania z wnioskami i sprzeciwami pochodzącymi od osób, których dane osobowe są przetwarzane,
Zmianie uległy także uprawnienia, z którymi osoba, której dane dotyczą może wystąpić do administratora danych, katalog ten został rozszerzony i dodatkowo doprecyzowano terminy ustosunkowania się do zgłoszonego żądania. Warto przewidzieć sposoby postępowania na takie okoliczności.
- weryfikacja technicznych, formalno-prawnych oraz organizacyjnych środków ochrony danych osobowych w procedurze ich przetwarzania,
RODO nie wyznacza ścisłych metod zapewnienia bezpieczeństwa ochrony danych osobowych. Obowiązek ich wyznaczenia spoczywa na administratorze danych, który dokonuje tego w oparciu o analizę ryzyka albo ocenę skutków przetwarzania. Powinieneś określić sposoby zapewnienia bezpieczeństwa danych (organizacyjne, fizyczne i informatyczne),
- konieczność wdrożenia systemu monitorującego i raportującego naruszenia warunków przetwarzania danych osobowych,
Rozporządzenie wymaga aby każdy podmiot uczestniczący w przetwarzaniu danych osobowych prowadził rejestr naruszeń ochrony danych osobowych oraz wdrożył procedurę postępowania na wypadek stwierdzenia takiego naruszenia. To bardzo ważne, bowiem administrator danych ma jedynie 72 godziny, od wykrycia incydentu, do zgłoszenia go organowi nadzorczemu. Powinieneś zatem stworzyć te dokumenty,
- weryfikacja czy w firmie znajdą zastosowanie przepisy dotyczące ochrony danych osobowych na etapie projektowania ich przyszłego przetwarzania, profilowania, oceny ryzyka, uprzednich konsultacji, itp.,
RODO wprowadza szereg dodatkowych obowiązków dla administratorów przetwarzających dane osobowe w szczególny sposób i w dużym rozmiarze, a także w sposób stwarzający wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Koniecznie zweryfikuj, czy któraś z tych procedur nie dotyczy również ciebie.