Zgodnie z opublikowanym na początku roku komunikatem Urzędu Ochrony Danych Osobowych w 2025 roku zapowiedziane zostały kontrole z zakresu bezpieczeństwa danych medycznych i przetwarzanie danych dzieci. Plan kontroli sektorowych UODO zgodnie z ogłoszonym komunikatem obejmuje m.in. podmioty, które przetwarzają dane o stanie zdrowia – sposób zapewnienia bezpieczeństwa danych osobowych, podmioty, które przetwarzają dane dzieci – przetwarzanie wizerunku dzieci, gdy wymagana jest zgoda wyrażona przez rodziców lub opiekunów prawnych, administratorów danych – w zakresie dokumentowania wszelkich naruszeń ochrony danych osobowych. Czy warto uprzedzić działania kontrolerów i przeprowadzić audyt RODO w organizacji? Sprawdź!
W jaki sposób można przygotować do kontroli i czy warto przeprowadzić audyt RODO
Zapowiedź kontroli w pierwszej kolejności może wzbudzić zainteresowanie podmiotów wskazanych w komunikacie. Kwestia ta w szczególności może być istotna dla administratorów danych osobowych, jako podmiotów ponoszących odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych.
W związku z powyższą zapowiedzią, warto zastanowić się nad przeprowadzeniem audytu zgodności przetwarzania danych osobowych (tzw. audytu RODO). Audyt może zostać przeprowadzony w celu dokonania oceny wdrożenia odpowiednich procedur i polityk, dostosowania dokumentacji administratora. Należy pamiętać w szczególności o tym, że samo posiadanie dokumentacji dotyczącej ochrony danych osobowych w podmiocie nie jest jednoznaczne z wdrożeniem procedur zgodnie z rozporządzeniem i ustawą, a nasze doświadczenie pokazuje, że z upływem czasu od wdrożenia dokumenty używane przez naszych Klientów zmieniają się, a ostatecznie często mocno odbiegają od pierwotnej wersji, de facto naruszając Rozporządzenie.
Przeprowadzany przesz Compliance Experts audyt RODO może służyć – i bardzo często służy- jako odpowiednie narzędzie do oceny prawidłowości przetwarzania danych i ew. podjęcia odpowiednich działań, pozwalających na bezpieczne i poprawne przetwarzanie danych osobowych. Wykrycie przez nas błędów w sposobie działania i wdrożenie zmian może uchronić przedsiębiorcę od nałożenia kar w przypadku przeprowadzenia zapowiedzianych kontroli przez Urząd Ochrony Danych Osobowych.
Co należy wziąć pod uwagę, przeprowadzając audyt RODO?
Przede wszystkim należy zidentyfikować i zweryfikować zasoby administratora danych osobowych, ogólne obowiązki osób odpowiedzialnych za przetwarzanie danych osobowych w organizacji administratora oraz dokonać oceny bezpieczeństwa i ryzyka.
Należy wziąć pod uwagę m.in. jak są przetwarzane dane, tj. zbierane, wykorzystywane, udostępniane i przechowywane (kto ma do nich dostęp), w jakiej formie dane osobowe są przetwarzane. Należy również zweryfikować zarządzanie zasobami administratora, w tym w szczególności środki bezpieczeństwa i ew. incydenty naruszenia ochrony danych osobowych. Więcej na ten temat pisaliśmy już we wcześniejszym wpisie, dostępnym tutaj: Audyt RODO – Jak zapewnić zgodność z przepisami?.
Czy audyt powinien obejmować również działalność Inspektora Ochrony Danych osobowych?
Kwestia możliwości weryfikowania działalności Inspektora Ochrony Danych Osobowych (IOD) w ramach audytu RODO była dyskutowana ze względu na konieczność zapewnienia osobie pełniącej funkcje IOD niezależności, która jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania zadań IOD. Zgodnie z informacją opublikowaną na stronie Urzędu Ochrony Danych Osobowych, audyt (kontrola) może dotyczyć pracy IOD, należy jednak w ramach prowadzonego audytu respektować niezależne wykonywanie zadań IOD i nie może wiązać się z wydawaniem przez osoby kontrolujące jakichkolwiek bezpośrednich poleceń lub zaleceń IOD w zakresie wykonywanych zadań. Ostateczne decyzje co do oceny wyników audytu dotyczącego prawidłowości wykonywania ciążących na IOD obowiązków podejmuje kierownik jednostki, a inspektor musi mieć możliwość przedstawienia swojego stanowiska
Jakie są najczęściej identyfikowane przez nas problemy w związku z przeprowadzonym audytem RODO?
1.Brak procedur i odpowiedniej dokumentacji RODO w organizacji
Wydawać by się mogło, że brak procedur i odpowiedniej dokumentacji RODO, po siedmiu latach od wejścia w życie rozporządzenia RODO i ustawy, nie będzie już identyfikowanym problemem. Niestety nadal zdarzają się sytuacje, w których administrator danych osobowych nie wdraża odpowiednich polityk i procedur, jak również nie przeprowadza szkoleń dla pracowników i współpracowników. Często tego typu braki są identyfikowane dopiero na etapie stwierdzenia naruszenia.
2. Brak wdrożenia procedur i dokumentacji w organizacji
Drugim, kolejno identyfikowanym problemem związanym z implementacją RODO w organizacji jest brak rzeczywistego wdrożenia procedur i dokumentacji RODO lub wdrożenie jedynie częściowe. Te sytuacje zdarzają się zdecydowanie częściej i mogą prowadzić do poważnych konsekwencji. Świadczą o tym m.in. decyzje Prezesa Urzędu Ochrony Danych Osobowych.
3. Brak wdrożenia procedur a zasada rozliczalności
Wśród najczęściej wykrywanych problemów znajdują się m.in. brak prowadzenia rzetelnej dokumentacji, dzięki której może zostać spełniona zasada rozliczalności, brak przeprowadzenia odpowiedniej oceny ryzyka w ramach nowowprowadzanych projektów, brak monitorowania procesów przetwarzania i ewentualnych naruszeń, co zostało również uwzględnione w planie kontroli sektorowej. Zgodnie z komunikatem Urzędu Ochrony Danych Osobowych właśnie ten ostatni aspekt dotyczący naruszeń, okoliczności naruszenia ochrony danych osobowych, skutków oraz podjętych działań zaradczych będą weryfikowane w toku kontroli.
Na co jeszcze warto zwrócić uwagę?
Skuteczne wdrożenie procedury ochrony danych osobowych w organizacji wieńczą wewnętrzne szkolenia pracowników i współpracowników. Budowanie świadomości w zakresie ochrony danych osobowych przyczynia się do minimalizacji ryzyka wystąpienia naruszenia ochrony danych osobowych, a w przypadku ewentualnych incydentów do szybkiego i skutecznego wyjaśnienia okoliczności naruszenia i podjęcia odpowiednich działań następczych.
W przypadku pytań, zapraszamy do kontaktu.
Autor:
Krystyna Mazalik-Sumara, Approved Compliance Officer/ Approved Compliance Expert (ESG; AML&S)
k.mazalik@complianceexperts.pl