Ochrona danych osobowych
Zagadnienia dotyczące ochrony danych osobowych pozostają w dalszym ciągu bardzo aktualne, mimo że od wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) upłynęło już kilka lat (RODO zostało przyjęte 27 kwietnia 2016 r., weszło w życie 25 maja 2018 r.). W dalszym ciągu administratorzy danych osobowych są zaskakiwani zgłoszeniami dotyczącymi naruszeń danych osobowych osób fizycznych, które są przez nich przetwarzane. Co więcej, decyzje Prezesa Urzędu Ochrony Danych Osobowych przewidują coraz częściej kary pieniężne w związku ze stwierdzanymi naruszeniami.
Audyt RODO – czy jest wystarczającym środkiem zapewniającym zgodność przetwarzania danych osobowych z RODO?
Audyt RODO może być rozumiany zarówno jako audyt, mający na celu analizę zgodności przetwarzania danych osobowych z RODO dla celów wewnętrznych administratora danych osobowych, w celu oceny i jednocześnie minimalizacji ryzyka, wdrożenia odpowiednich procedur i polityk, dostosowania dokumentacji administratora, w tym również przygotowania odpowiednich umów, klauzul informacyjnych czy też odpowiednich postanowień umownych w kontaktach z kontrahentami. Zgodnie z art. 24 ust. 1 RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Administrator powinien kierować się przede wszystkim charakterem, zakresem, kontekstem, celami przetwarzania jak również ryzykiem naruszenia.
Z drugiej strony, audyt RODO, może służyć jako narzędzie do oceny bezpieczeństwa przetwarzania danych osobowych przez podmioty trzecie, w drodze zawartych umów powierzenia przetwarzania danych osobowych. Niejednokrotnie możliwość przeprowadzenia audytu RODO przez administratora danych osobowych jest uwzględniana w umowach powierzenia danych osobowych. Wynika to z art. 28 ust. 3 lit. h RODO. Audyt RODO procesora ma na celu ocenę jego działalności w zakresie objętym powierzeniem. Zarówno administrator jak i podmiot przetwarzający są bowiem zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa, co wynika z art. 32 ust. 1 RODO.
Czy przeprowadzenie audytu jest wystarczającym środkiem zabezpieczającym? Z pewnością nie, ale jest odpowiednim narzędziem do oceny prawidłowości przetwarzania danych i ew. podjęcia odpowiednich działań, pozwalających na bezpieczne i poprawne przetwarzanie danych osobowych.
Rodzaje audytów RODO
Audyt może być wewnętrzny – dokonywany według standardów administratora lub podmiotu przetwarzającego na przykład w ramach udzielenie odpowiedzi w kwestionariuszu pytań, dotyczących środków technicznych i organizacyjnych zapewniających zgodności przetwarzania danych osobowych zgodnie z RODO. Może również zostać przeprowadzony przez Inspektora Danych Osobowych, wyznaczonego przez administratora lub podmiot zewnętrzny z uwzględnieniem analizy dokumentacji wewnętrznej, procedur i polityk, jeśli zostały wdrożone i przyjęte, jak również analizy działania organizacji (procesy pracowników/ kadry zarządzającej), strony internetowej czy też weryfikacji zabezpieczeń technicznych i cyfrowych (wstępny audyt).
Audyt RODO może odbywać się po wdrożeniu odpowiednich polityk i procedur, celem weryfikacji ich poprawności i skuteczności (audyt cykliczny). Z wewnętrznego audytu RODO wyciągane są odpowiednie wnioski na bazie oceny zgodności z przepisami dot. ochrony danych osobowych.
Co brać pod uwagę, przeprowadzając audyt RODO?
Przede wszystkim należy zidentyfikować i zweryfikować zasoby administratora danych osobowych, ogólne obowiązki osób odpowiedzialnych za przetwarzanie danych osobowych w organizacji administratora oraz dokonać oceny bezpieczeństwa i ryzyka.
Należy wziąć pod uwagę m.in. jak są przetwarzane dane, tj. zbierane, wykorzystywane, udostępniane i przechowywane (kto ma do nich dostęp), w jakiej formie dane osobowe są przetwarzane. Należy również zweryfikować zarządzanie zasobami administratora, w tym w szczególności środki bezpieczeństwa i ew. incydenty naruszenia ochrony danych osobowych. O incydentach naruszenia danych osobowych pisaliśmy tutaj.
Pomocne w tym zakresie będą normy ISO 19011 dotyczące audytów systemów zarządzania.
Certyfikacja RODO
Od audytu wewnętrznego odróżnić należy certyfikację administratora danych osobowych lub podmiotu przetwarzającego dokonywaną przez akredytowane podmioty certyfikujące. Certyfikacja jest przeprowadzana zgodnie z Wytycznymi Europejskiej Rady Ochrony Danych (EROD). Certyfikacja jest dobrowolna i udzielana maksymalnie na 3 lata.
W przypadku pytań, zapraszamy do kontaktu.
Autor:
Krystyna Mazalik-Sumara, Approved Compliance Officer/ Approved Compliance Expert (ESG; AML&S)
k.mazalik@complianceexperts.pl