Audyt RODO – jak powinien wyglądać i kiedy go przeprowadzać

Czym jest Audyt zgodności z RODO?

Audyt zgodności z RODO bywa niekiedy porównywany do diagnozy lekarskiej. Metafora ta zdaje się być trafna. Rzetelnie przeprowadzony audyt jest w stanie wykazać mocne i słabe strony ochrony danych osobowych w przedsiębiorstwie i stanowi punkt wyjścia do podjęcia odpowiednich działań. Świadomość tego, co w danej organizacji należy zmienić, jest najważniejszym krokiem do uzyskania zgodności z RODO, a co za tym idzie do uniknięcia wysokich kar.

Co ciekawe, z przepisów RODO nie wynika wprost wymóg przeprowadzania audytu zgodności. Obowiązkowe jest jednakże regularne dokonywanie przeglądów i oceny skuteczności wdrożonych zabezpieczeń, co wynika z art. 24 ust. 1 oraz art. 32 ust. 1 lit. d RODO, a także motywu (39). Służyć temu może audyt zgodności z RODO, jednakże przepisy ogólnego rozporządzenia o ochronie danych osobowych pozostawiają w tym względzie swobodę administratorom danych osobowych co do form owych przeglądów i ocen.

Z racji tego, że RODO w art. 5 wprowadza tzw. zasadę rozliczalności, zgodnie z którą Administrator danych jest odpowiedzialny nie tylko za przestrzeganie zasad dotyczących przetwarzania danych osobowych, ale musi być w również w stanie to wykazać, audyt zgodności z RODO oraz powstały na jego bazie raport należy uznać za narzędzia najbardziej adekwatne do oceny respektowania przepisów związanych z ochroną danych osobowych.

Należy podkreślić, że nie istnieje jeden obowiązujący wzór audytu zgodności z RODO ani jedna uniwersalna metoda jego przeprowadzania. Sposób przeprowadzenia audytu powinien być dostosowany do skali działalności danego przedsiębiorcy, charakteru tej działalności oraz ilości przetwarzanych prze niego danych osobowych.

Narzędzia do audytu

W celu przeprowadzenia audytu można wykorzystać różne narzędzia, w tym w szczególności ankiety, rozmowy z pracownikami, oględziny miejsc, wgląd do nośników danych, kontrolę systemów informatycznych oraz przejrzenie dokumentacji. Najpopularniejszym narzędziem służącym do audytu w dużych organizacjach jest ankieta, ponieważ dzięki niej można zbadać potencjalnie dużą grupę odbiorców i analizować zebrane dane pod względem ilościowym i jakościowym. W przypadku ankiety warto zwrócić uwagę, aby była ona odpowiednio zbudowana, tj., aby zawarte w niej pytania zamknięte przeplatały się z otwartymi. Rekomenduje się wprowadzenie do ankiety tzw. pytań kontrolnych, które sprawdzają poprzednio udzielone odpowiedzi.

Z kolei w sytuacji przeprowadzania audytu zgodności RODO w mniejszych organizacjach bardziej zasadne wydaje się przeprowadzenie bezpośredniej rozmowy z członkami organizacji.

Na jakie pytania powinien odpowiedzieć audyt zgodności z RODO?

Przeprowadzenie audytu zgodności z RODO powinno umożliwić przedsiębiorcom udzielenie odpowiedzi na kluczowe z punktu widzenia Ogólnego rozporządzenia o ochronie danych pytania, w szczególności na następujące z nich (jest to przykładowy zbiór pytań):

• jakie procesy przetwarzania danych osobowych występują w naszej organizacji?

• jakie kategorie danych osobowych gromadzimy w ramach naszej działalności i czy znajdują się wśród nich szczególne kategorie danych osobowych, w tym dane biometryczne?

• czy konieczne jest prowadzenie Rejestru Czynności Przetwarzanych Danych Osobowych?

• czy procesy przetwarzania danych osobowych istniejące w naszej organizacji oparte są na przesłankach legalizujących wymienionych w RODO?

• jakie działania na danych osobowych występują w naszej organizacji?

• czy przestrzegamy zasady minimalizacji danych tj. czy nie przetwarzamy zbyt dużo danych osobowych?

• czy przestrzegamy zasady celu przetwarzania danych osobowych, tj. czy przetwarzamy dane osobowe zgodnie z celem, w którym zostały zebrane?

• czy przestrzegamy zasady ograniczenia przechowywania danych osobowych, tj. czy Administratorzy danych osobowych nie przechowują danych osobowych dłużej, niż to jest niezbędne do osiągnięcia celów przetwarzania?

• czy jest przestrzegana zasada rozliczalności tj. czy Administrator jest w stanie udokumentować stosowane przez siebie metody ochrony danych osobowych, w przypadku ewentualnej kontroli?

• czy Administrator powinien powołać Inspektora Ochrony Danych?

• czy obecnie stosowane metody ochrony danych osobowych są adekwatne i skuteczne?

• czy Administrator wypełnia obowiązki informacyjne wynikające z art. 13 i 14 RODO i wykonuje to w sposób prawidłowy?

• czy stosowane przez przedsiębiorcę klauzule informacyjne i wzory zgód odpowiadają wymaganiom RODO?

• czy przedsiębiorca transferuje dane osobowe do podmiotów trzecich, a jeśli tak to, to kim są odbiorcy danych osobowych?

• czy transferowanie danych osobowych występuje w formie powierzenia czy udostępnienia danych osobowych?

• czy zostały zawarte stosowne umowy powierzenia przetwarzania danych osobowych i w związku z tym, czy jest prowadzony wykaz podmiotów, którym powierzono przetwarzanie danych osobowych?

• czy mamy do czynienia z administrowaniem czy współ administrowaniem danymi osobowymi?

• czy przedsiębiorca transferuje dane osobowe poza obszar Unii Europejskiej oraz Europejski Obszar Gospodarczy?

• jeżeli przedsiębiorca transferuje dane osobowe poza obszar Unii Europejskiej oraz Europejski Obszar Gospodarczy, to czy przekazywanie danych znajduje przesłankę legalizującą w instrumentach prawnych, o których stanowi rozdział V RODO tj. decyzji KE o stwierdzeniu należytego stopnia ochrony danych osobowych w określonym państwie trzecim, a w sytuacji jej niewydania, w standardowych klauzulach umownych przyjętych przez Komisję Europejską albo organ nadzorczy i następnie zatwierdzonych przez Komisję Europejską, wiążących regułach korporacyjnych, zatwierdzonym kodeksie postępowania lub też zatwierdzonym mechanizmie certyfikacji.

• czy przedsiębiorca stosuje i rozumie potrzebę stosowania środków ochrony danych osobowych w postaci pseudonimizacji i anonimizacji?

• czy przedsiębiorca podejmuje odpowiednie działania w przypadku wystąpienia incydentu związanego z naruszeniem ochrony danych osobowych oraz prowadzi rejestr naruszeń danych osobowych?

• czy przedsiębiorca nadaje odpowiednie upoważnienia do przetwarzania danych osobowych pracownikom i prowadzi rejestr upoważnień?

Mapowanie procesów przetwarzania danych osobowych w ramach audytu zgodności z RODO

Przeprowadzenie audytu zgodności z RODO pomocne jest w szczególności w sytuacji, gdy przeprowadzamy w naszej organizacji tzw. mapowanie procesów przetwarzania danych osobowych. Pojęcie to wiąże się ze zbieraniem informacji na temat wszelkich czynności i procesów, w ramach których wykorzystywane są dane osobowe.

Dokonując mapowania procesów w ramach przeprowadzania audytu zgodności z RODO powinniśmy rozpocząć od analizy struktury organizacyjnej instytucji lub przedsiębiorstwa. Prześledzenie schematu organizacyjnego danego podmiotu pomoże nam ustalić bloki danych, które są gromadzone w ramach poszczególnych komórek organizacyjnych. Zabieg ten ma na celu wyodrębnienie zbiorów danych w formie baz, które są wykorzystywane w ramach konkretnych procesów przetwarzania, ale także uporządkowanie i usystematyzowanie procesów przetwarzania, które zostaną następnie opisane w ramach Rejestru Czynności Przetwarzania Danych Osobowych.

W ramach wspomnianej analizy warto przypomnieć jak RODO definiuje zbiór danych osobowych. Zgodnie z art. 4 pkt 6 Ogólnego rozporządzenia o ochronie danych „zbiór danych jest to „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.

Przenosząc powyższe na grunt praktyki, zbiór danych to zestaw informacji wyróżniony ze względu na pewne kryteria, którymi mogą być: kategorie osób, których dane dotyczą, cel i zakres przetwarzania danych osobowych lub też podstawa prawna przetwarzania danych osobowych.

Posłużenie się kryterium kategorii podmiotów, których dane dotyczą doprowadzić nas może do wyróżnienia następujących zbiorów danych dotyczących podmiotów występujących w ramach danej organizacji: kandydaci do zatrudnienia, pracownicy i współpracownicy, reprezentanci kontrahentów, indywidualni klienci, klienci biznesowi. Po wyodrębnieniu zbiorów następnym krokiem jest przypisanie do nich procesów, które istnieją w organizacji. Przykładowo do kategorii reprezentantów kontrahentów przypiszemy następujące procesy: nawiązywanie współpracy, świadczenie usług związanych z księgowością, realizacja umów związanych z dostawą towarów, świadczenie usług informatycznych itp.

Na marginesie warto zauważyć, że Ogólne Rozporządzenie o Ochronie Danych Osobowych zniosło obowiązek rejestracji zbiorów danych osobowych. Oznacza to, że od dnia 25 maja 2018 r. nie trzeba przesyłać do Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezesa Urzędu Ochrony Danych Osobowych) zgłoszeń zbiorów danych do rejestracji, zgłoszeń zmian w zbiorach ani wniosków o wykreślenie.

Za to w wielu przypadkach wymaga się od przedsiębiorców prowadzenia Rejestru Czynności Przetwarzania Danych Osobowych, w ramach którego zostaną opisane wyżej wymienione procesy przetwarzania danych osobowych. Przeprowadzenie mapowania procesów bez rzetelnie przeprowadzonego audytu wydaje się nierealne. Dzięki dobrze przeprowadzonemu audytowi, w ramach którego zostaną wyodrębnione zbiory danych i procesy przetwarzania danych możemy uzyskać pełną świadomość tego, co dzieje się z danymi osobowymi w naszym przedsiębiorstwie, a następnie stworzyć Rejestr Czynności Przetwarzania Danych Osobowych, od którego często rozpoczyna się ewentualne kontrola UODO.

Raport z audytu

Audyt zgodności z przepisami Ogólnego rozporządzenia o ochronie danych osobowych powinien zakończyć się sporządzeniem Raportu z audytu, w którym zostanie opisany stan faktyczny istniejący w danej organizacji w momencie przeprowadzania audytu. Na początku niniejszego artykułu porównano audyt do diagnozy lekarskiej, i tak też raport z audytu powinien stanowić sprawozdanie z owej diagnozy. Na tym etapie ważne jest określenie obszarów problemowych związanych z danymi osobowymi, które wymagają niejako „leczenia” w przedsiębiorstwie.

Przykładowo, raport z audytu powinien zawierać stwierdzenia, że przedsiębiorca nie zawarł z danym podmiotem zewnętrznym umowy powierzenia przetwarzania danych osobowych, ale nie będzie zawierał treści umowy jaka powinna być zawarta. W raporcie z audytu mogą się znaleźć także zalecenia dotyczące przygotowania szkoleń dla personelu, klauzul zgód oraz klauzul dotyczących obowiązku informacyjnego jednak sam raport nie będzie zawierał programu szkolenia, ani przykładów konkretnych klauzul.