RODO, czyli Ogólne rozporządzenie o ochronie danych osobowych, bezpośrednio obowiązuje od 25 maja 2018 r. we wszystkich państwach członkowskich Unii Europejskiej. Wraz z wejściem w życie niniejszego aktu pojawiło się wiele mitów i absurdów związanych z realizacją jego przepisów w praktyce. Jedną z konsekwencji obowiązywania RODO jest to, że wielu przedsiębiorców zadało sobie pytanie, na ile ich działalność jest zgodna z przepisami RODO. Przeprowadzenie audytu zgodności z RODO może pomóc udzielić na to pytanie odpowiedzi, a sukces audytu RODO opiera się na spełnieniu fundamentalnych obowiązków wynikających z rozporządzenia.
Audyt przeprowadza się w celu sprawdzenia zgodności organizacji z przepisami oraz identyfikacji potencjalnych zagrożeń dla bezpieczeństwa danych osobowych. Przeprowadzenie audytu RODO pozwala na identyfikację potencjalnych zagrożeń w systemie ochrony danych osobowych oraz zaproponowanie odpowiednich działań naprawczych.
Czym jest Audyt zgodności z RODO?
Audyt zgodności z RODO bywa niekiedy porównywany do diagnozy lekarskiej. Metafora ta zdaje się być trafna. Rzetelnie przeprowadzony audyt pozwala wykazać mocne i słabe strony ochrony danych osobowych w przedsiębiorstwie i stanowi punkt wyjścia do podjęcia odpowiednich działań. Świadomość tego, co w danej organizacji należy zmienić, jest najważniejszym krokiem do uzyskania zgodności z RODO, a co za tym idzie do uniknięcia wysokich kar. Regularne przeprowadzanie audytu przynosi firmie szereg korzyści, takich jak uniknięcie kar finansowych i budowanie zaufania. Regularne audyty RODO pozwalają na bieżąco dostosowywać polityki organizacji do zmieniających się przepisów, co zapewnia długoterminową stabilność i bezpieczeństwo działalności. Brak zgodności z przepisami RODO może prowadzić do utraty zaufania klientów oraz partnerów biznesowych, co negatywnie wpływa na reputację firmy. Organ nadzorczy może nałożyć administracyjną karę pieniężną w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Co ciekawe, z przepisów RODO nie wynika wprost wymóg przeprowadzania audytu zgodności, a z praktyki, jako jedno z głównych narzędzi do wykrycia nieprawidłowości lub potwierdzenia, że stosowane procedury są właściwe i stosowane. Obowiązkowe jest regularne dokonywanie przeglądów i oceny skuteczności wdrożonych zabezpieczeń, co wynika z art. 24 ust. 1 oraz art. 32 ust. 1 lit. d RODO, a także motywu (39). Służyć temu może własnie audyt zgodności z RODO, jednakże przepisy ogólnego rozporządzenia o ochronie danych osobowych pozostawiają w tym względzie swobodę administratorom danych osobowych co do form owych przeglądów i ocen.
Z racji tego, że RODO w art. 5 wprowadza tzw. zasadę rozliczalności, zgodnie z którą Administrator danych jest odpowiedzialny nie tylko za przestrzeganie zasad dotyczących przetwarzania danych osobowych, ale musi być w również w stanie to wykazać, audyt zgodności z RODO oraz powstały na jego bazie raport należy uznać za narzędzia najbardziej adekwatne do oceny respektowania przepisów związanych z ochroną danych osobowych. Wykonanie fundamentalnych obowiązków nakładanych przez RODO jest możliwe tylko dzięki szczegółowemu audytowi.
Audyt pozwala zatem nie tylko na identyfikację potencjalnych zagrożeń, ale także na analizę ryzyka jako kluczowy element audytu, umożliwiający ocenę zagrożeń i identyfikację potencjalnych luk w zakresie bezpieczeństwa danych osobowych. Ponadto, audyt pozwala na kompleksową ocenę zgodności z wymogami RODO oraz wymaganiami RODO, co jest niezbędne do budowania zaufania i zapewnienia wysokich standardów bezpieczeństwa danych w organizacji.
Kiedy przeprowadzić audyt zgodności z RODO?
Audyt zgodności z RODO nie jest czynnością jednorazową. Powinien on zostać przeprowadzony zarówno przed wdrożeniem dokumentacji RODO, jak i po implementacji odpowiednich procedur. Wynika to z faktu, że każdy podmiot przetwarzający dane osobowe powinien na bieżąco monitorować przyjęte rozwiązania pod kątem ich prawidłowości, adekwatności, aktualności i celowości. Należy przeprowadzać audyt RODO regularnie, najlepiej co roku, aby dostosować polityki organizacji do zmieniających się przepisów i zapewnić długoterminową stabilność.
Podejście do ochrony danych wynikające z RODO zobowiązuje więc do aktywnej postawy skutkującej szybką reakcją na zmieniające się warunki przetwarzania danych, w szczególności ze względu na zakres, cel, czy też krąg odbiorców danych. Audyt RODO powinien obejmować wszystkie procesy przetwarzania danych osobowych w organizacji, a nie tylko wybrane aspekty. Efektem tego powinno być stosowanie środków bezpieczeństwa i procedur odpowiednich do pojawiających się zagrożeń.
Ze względu na moment przeprowadzania audytu zgodności z RODO można wyróżnić następujące jego rodzaje:
audyt wstępny – przeprowadzany u przedsiębiorcy, u którego do tej pory nie wdrożono RODO bądź u przedsiębiorcy planującego rozpoczęcie nowej działalności gospodarczej. Zazwyczaj będzie prowadził do przygotowania i wdrożenia niezbędnych procedur niejako od podstaw;
audyt okresowy, zwany także audytem powdrożeniowym – przeprowadzany zazwyczaj w cyklach rocznych, mający na celu, w szczególności kontrolę skuteczności przyjętych środków bezpieczeństwa danych osobowych, sprawdzenie sposobu wdrożenia przyjętej dokumentacji, przeszkolenie personelu w zakresie odpowiadającym na zmieniające się warunki przetwarzania danych osobowych.
Podstawy prawne audytu RODO
Podstawą prawną przeprowadzenia audytu zgodności z RODO są przepisy Ogólnego rozporządzenia o ochronie danych osobowych, w szczególności art. 39 RODO. Przepis ten określa kluczowe zadania Inspektora Ochrony Danych Osobowych (IOD), do których należy m.in. monitorowanie przestrzegania przepisów RODO, polityk administratora danych oraz podmiotów przetwarzających, a także prowadzenie rejestru czynności przetwarzania. W praktyce oznacza to, że audyt zgodności z RODO jest jednym z najważniejszych narzędzi umożliwiających IOD oraz administratorowi danych skuteczne nadzorowanie procesów przetwarzania danych osobowych w organizacji.
Audyt zgodności pozwala na kompleksową ocenę, czy przetwarzanie danych odbywa się zgodnie z obowiązującymi przepisami oraz wymogami określonymi w RODO. Dzięki temu administrator danych może nie tylko wykazać, że realizuje fundamentalne obowiązki nakładane przez rozporządzenie, ale również udokumentować podejmowane działania w zakresie ochrony danych osobowych. Przeprowadzenie audytu zgodności z RODO jest więc nie tylko elementem dobrej praktyki, ale także sposobem na spełnienie wymagań prawnych dotyczących rozliczalności i transparentności w zakresie ochrony danych osobowych.
Warto podkreślić, że audyt zgodności z RODO wspiera prawidłowe przetwarzanie danych, umożliwia identyfikację potencjalnych zagrożeń oraz wdrożenie odpowiednich środków technicznych i organizacyjnych. Dzięki temu organizacja może skutecznie minimalizować ryzyko naruszeń ochrony danych i budować zaufanie klientów oraz partnerów biznesowych.
Jak powinien wyglądać audyt zgodności z RODO?
ależy podkreślić, że nie istnieje jeden obowiązujący wzór audytu zgodności z RODO ani jedna uniwersalna metoda jego przeprowadzania. Kompleksowy audyt ochrony danych osobowych powinien składać się z kompleksowej oceny (1) stanu faktycznego i formalnego, (2) analizy poszczególnych procesów przetwarzania danych, (3) oceny zabezpieczeń technicznych, (4) analizy ryzyka oraz (5) identyfikacji potencjalnych zagrożeń dla bezpieczeństwa danych. Taka kompleksowa ocena pozwala na szczegółowe zidentyfikowanie i ocenę wszystkich mechanizmów ochrony danych osobowych w firmie.
Sposób przeprowadzenia audytu powinien być dostosowany do skali działalności danego przedsiębiorcy, charakteru tej działalności oraz ilości przetwarzanych przez niego danych osobowych. Audyt powinien obejmować analizę systemów informatycznych, zabezpieczeń technicznych oraz identyfikację potencjalnych zagrożeń, takich jak naruszenia bezpieczeństwa, utrata danych czy nieuprawniony dostęp.
Narzędzia do audytu RODO
W celu przeprowadzenia audytu można wykorzystać różne narzędzia, w tym w szczególności ankiety, rozmowy z pracownikami, oględziny miejsc, wgląd do nośników danych, kontrolę systemów informatycznych oraz przejrzenie dokumentacji. Najpopularniejszym narzędziem służącym do audytu w dużych organizacjach jest ankieta, ponieważ dzięki niej można zbadać potencjalnie dużą grupę odbiorców i analizować zebrane dane pod względem ilościowym i jakościowym. W przypadku ankiety warto zwrócić uwagę, aby była ona odpowiednio zbudowana, tj., aby zawarte w niej pytania zamknięte przeplatały się z otwartymi. Rekomenduje się wprowadzenie do ankiety tzw. pytań kontrolnych, które sprawdzają poprzednio udzielone odpowiedzi.
Z kolei w sytuacji przeprowadzania audytu zgodności RODO w mniejszych organizacjach bardziej zasadne wydaje się przeprowadzenie bezpośredniej rozmowy z członkami organizacji.
Na jakie pytania powinien odpowiedzieć audyt zgodności z RODO?
Przeprowadzenie audytu zgodności z RODO powinno umożliwić przedsiębiorcom udzielenie odpowiedzi na kluczowe z punktu widzenia Ogólnego rozporządzenia o ochronie danych pytania, w szczególności na następujące z nich (jest to przykładowy zbiór pytań):
jakie procesy przetwarzania danych osobowych występują w naszej organizacji?
jakie kategorie danych osobowych gromadzimy w ramach naszej działalności i czy znajdują się wśród nich szczególne kategorie danych osobowych, w tym dane biometryczne?
czy konieczne jest prowadzenie Rejestru Czynności Przetwarzanych Danych Osobowych?
czy procesy przetwarzania danych osobowych istniejące w naszej organizacji oparte są na przesłankach legalizujących wymienionych w RODO?
jakie działania na danych osobowych występują w naszej organizacji?
czy przestrzegamy zasady minimalizacji danych tj. czy nie przetwarzamy zbyt dużo danych osobowych?
czy przestrzegamy zasady celu przetwarzania danych osobowych, tj. czy przetwarzamy dane osobowe zgodnie z celem, w którym zostały zebrane?
czy przestrzegamy zasady ograniczenia przechowywania danych osobowych, tj. czy Administratorzy danych osobowych nie przechowują danych osobowych dłużej, niż to jest niezbędne do osiągnięcia celów przetwarzania?
czy jest przestrzegana zasada rozliczalności tj. czy Administrator jest w stanie udokumentować stosowane przez siebie metody ochrony danych osobowych, w przypadku ewentualnej kontroli?
czy Administrator powinien powołać Inspektora Ochrony Danych?
czy obecnie stosowane metody ochrony danych osobowych są adekwatne i skuteczne?
czy Administrator wypełnia obowiązki informacyjne wynikające z art. 13 i 14 RODO i wykonuje to w sposób prawidłowy?
czy stosowane przez przedsiębiorcę klauzule informacyjne i wzory zgód odpowiadają wymaganiom RODO?
czy przedsiębiorca transferuje dane osobowe do podmiotów trzecich, a jeśli tak to, to kim są odbiorcy danych osobowych?
czy transferowanie danych osobowych występuje w formie powierzenia czy udostępnienia danych osobowych?
czy zostały zawarte stosowne umowy powierzenia przetwarzania danych osobowych i w związku z tym, czy jest prowadzony wykaz podmiotów, którym powierzono przetwarzanie danych osobowych?
czy mamy do czynienia z administrowaniem czy współ administrowaniem danymi osobowymi?
czy przedsiębiorca transferuje dane osobowe poza obszar Unii Europejskiej oraz Europejski Obszar Gospodarczy?
jeżeli przedsiębiorca transferuje dane osobowe poza obszar Unii Europejskiej oraz Europejski Obszar Gospodarczy, to czy przekazywanie danych znajduje przesłankę legalizującą w instrumentach prawnych, o których stanowi rozdział V RODO tj. decyzji KE o stwierdzeniu należytego stopnia ochrony danych osobowych w określonym państwie trzecim, a w sytuacji jej niewydania, w standardowych klauzulach umownych przyjętych przez Komisję Europejską albo organ nadzorczy i następnie zatwierdzonych przez Komisję Europejską, wiążących regułach korporacyjnych, zatwierdzonym kodeksie postępowania lub też zatwierdzonym mechanizmie certyfikacji.
czy przedsiębiorca stosuje i rozumie potrzebę stosowania środków ochrony danych osobowych w postaci pseudonimizacji i anonimizacji?
czy przedsiębiorca podejmuje odpowiednie działania w przypadku wystąpienia incydentu związanego z naruszeniem ochrony danych osobowych oraz prowadzi rejestr naruszeń danych osobowych?
czy przedsiębiorca nadaje odpowiednie upoważnienia do przetwarzania danych osobowych pracownikom i prowadzi rejestr upoważnień?
Mapowanie procesów przetwarzania danych osobowych w ramach audytu zgodności z RODO
Przeprowadzenie audytu zgodności z RODO pomocne jest w szczególności w sytuacji, gdy przeprowadzamy w naszej organizacji tzw. mapowanie procesów przetwarzania danych osobowych. Pojęcie to wiąże się ze zbieraniem informacji na temat wszelkich czynności i procesów, w ramach których wykorzystywane są dane osobowe. Plan audytu powinien uwzględniać poszczególne procesy przetwarzania danych oraz każdy dany proces w kontekście ryzyka, aby zapewnić kompleksową analizę zgodności.
Dokonując mapowania procesów w ramach przeprowadzania audytu zgodności z RODO powinniśmy rozpocząć od analizy struktury organizacyjnej instytucji lub przedsiębiorstwa. Prześledzenie schematu organizacyjnego danego podmiotu pomoże nam ustalić bloki danych, które są gromadzone w ramach poszczególnych komórek organizacyjnych. Dobrze zbudowany plan audytu powinien uwzględniać strukturę organizacji, liczbę procesów oraz obszary o najwyższym poziomie ryzyka. Zabieg ten ma na celu wyodrębnienie zbiorów danych w formie baz, które są wykorzystywane w ramach konkretnych procesów przetwarzania, ale także uporządkowanie i usystematyzowanie procesów przetwarzania, które zostaną następnie opisane w ramach Rejestru Czynności Przetwarzania Danych Osobowych.
W ramach wspomnianej analizy warto przypomnieć jak RODO definiuje zbiór danych osobowych. Zgodnie z art. 4 pkt 6 Ogólnego rozporządzenia o ochronie danych „zbiór danych jest to „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.
Przenosząc powyższe na grunt praktyki, zbiór danych to zestaw informacji wyróżniony ze względu na pewne kryteria, którymi mogą być: kategorie osób, których dane dotyczą, cel i zakres przetwarzania danych osobowych lub też podstawa prawna przetwarzania danych osobowych.
Posłużenie się kryterium kategorii podmiotów, których dane dotyczą doprowadzić nas może do wyróżnienia następujących zbiorów danych dotyczących podmiotów występujących w ramach danej organizacji: kandydaci do zatrudnienia, pracownicy i współpracownicy, reprezentanci kontrahentów, indywidualni klienci, klienci biznesowi. Po wyodrębnieniu zbiorów następnym krokiem jest przypisanie do nich procesów, które istnieją w organizacji. Przykładowo do kategorii reprezentantów kontrahentów przypiszemy następujące procesy: nawiązywanie współpracy, świadczenie usług związanych z księgowością, realizacja umów związanych z dostawą towarów, świadczenie usług informatycznych itp.
Na marginesie warto zauważyć, że Ogólne Rozporządzenie o Ochronie Danych Osobowych zniosło obowiązek rejestracji zbiorów danych osobowych. Oznacza to, że od dnia 25 maja 2018 r. nie trzeba przesyłać do Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezesa Urzędu Ochrony Danych Osobowych) zgłoszeń zbiorów danych do rejestracji, zgłoszeń zmian w zbiorach ani wniosków o wykreślenie.
Za to w wielu przypadkach wymaga się od przedsiębiorców prowadzenia Rejestru Czynności Przetwarzania Danych Osobowych, w ramach którego zostaną opisane wyżej wymienione procesy przetwarzania danych osobowych. Przeprowadzenie mapowania procesów bez rzetelnie przeprowadzonego audytu wydaje się nierealne. Bez rzetelnego audytu nie można również wykonać fundamentalnych obowiązków wynikających z RODO. Dzięki dobrze przeprowadzonemu audytowi, w ramach którego zostaną wyodrębnione zbiory danych i procesy przetwarzania danych możemy uzyskać pełną świadomość tego, co dzieje się z danymi osobowymi w naszym przedsiębiorstwie, a następnie stworzyć Rejestr Czynności Przetwarzania Danych Osobowych, od którego często rozpoczyna się ewentualne kontrola UODO.
Raport z audytu RODO
Audyt zgodności z przepisami Ogólnego rozporządzenia o ochronie danych osobowych powinien zakończyć się sporządzeniem kompleksowego raportu, który zawiera podsumowanie wyników badania oraz rekomendacje w zakresie zmian. Na początku niniejszego artykułu porównano audyt do diagnozy lekarskiej, i tak też raport z audytu powinien stanowić sprawozdanie z owej diagnozy. Na tym etapie ważne jest określenie obszarów problemowych związanych z danymi osobowymi, które wymagają niejako „leczenia” w przedsiębiorstwie.
Przykładowo, raport audytu zgodności powinien zawierać stwierdzenia, że przedsiębiorca nie zawarł z danym podmiotem zewnętrznym umowy powierzenia przetwarzania danych osobowych, ale nie będzie zawierał treści umowy jaka powinna być zawarta. Raport audytu zgodności powinien obejmować analizę zgodności z treściami RODO, analizę ryzyka oraz ocenę zgodności poszczególnych procesów przetwarzania danych. W raporcie z audytu mogą się znaleźć także zalecenia dotyczące przygotowania szkoleń dla personelu, klauzul zgód oraz klauzul dotyczących obowiązku informacyjnego jednak sam raport nie będzie zawierał programu szkolenia, ani przykładów konkretnych klauzul.
Cykliczne audyty RODO
Cykliczne audyty RODO stanowią kluczowy element skutecznego systemu zarządzania ochroną danych osobowych w każdej organizacji. Regularne audyty pozwalają na bieżąco monitorować zgodność procesów przetwarzania danych z obowiązującymi przepisami oraz wymogami określonymi w RODO. Dzięki temu administrator danych może szybko reagować na zmiany w strukturze organizacyjnej, technologii czy otoczeniu prawnym, a także skutecznie zapobiegać naruszeniom ochrony danych.
Zaleca się, aby plan audytu obejmował przeprowadzenie audytu RODO co najmniej raz w roku, choć w niektórych przypadkach – np. przy dynamicznym rozwoju organizacji lub wdrażaniu nowych systemów informatycznych – warto przeprowadzać audyt cykliczny nawet częściej. Regularne audyty pozwalają nie tylko na aktualizację dokumentacji i procedur, ale również na podnoszenie świadomości pracowników w zakresie ochrony danych osobowych.
Cykliczne audyty RODO są również istotne z punktu widzenia relacji z organem nadzorczym. W przypadku kontroli, administrator danych, który może wykazać, że regularnie przeprowadza audyt ochrony danych osobowych i wdraża zalecenia wynikające z raportu audytu zgodności, minimalizuje ryzyko nałożenia sankcji oraz zwiększa zaufanie organu nadzorczego do podejmowanych działań. Planowanie i realizacja regularnych audytów to także sposób na ciągłe doskonalenie systemu ochrony danych osobowych i zapewnienie bezpieczeństwa informacji w danej organizacji.
Słowem podsumowania
Skuteczne wdrożenie RODO w organizacji zależy od szeregu działań poprzedzających, którymi jest przeprowadzenie audytu zgodności z RODO oraz sporządzenie na jego bazie raportu z audytu. Dopiero po przeprowadzeniu audytu jesteśmy w stanie określić jakie dokumenty związane z RODO przygotować, w jaki sposób je zaimplementować oraz jakie działania podjąć, aby w pełni zabezpieczyć nasze przedsiębiorstwo przed naruszeniem danych osobowych, a co za tym idzie przed widmem wysokich kar za niedopełnienie obowiązków wynikających z RODO.
Pytania i odpowiedzi
Czym jest audyt zgodności z RODO?
Czy audyt zgodności z RODO jest obowiązkowy?
Kiedy należy przeprowadzić audyt zgodności z RODO?