Poradnik Przedsiębiorcy

Audyt zgodności z RODO - jak go przeprowadzić?

Zgodnie z RODO wszystkie dane osobowe muszą być przetwarzane w sposób określony w przepisach, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Administrator danych jest uprawniony do zbierania i przetwarzania danych wyłącznie w prawnie uzasadnionych celach, w zakresie adekwatnym do swoich potrzeb i przez minimalny okres niezbędny do spełnienia celu przetwarzania. W każdym przypadku, niezależnie od prowadzonej działalności i rodzaju przetwarzanych danych, na administratorze danych ciąży obowiązek zapewnienia danym odpowiedniego stopnia bezpieczeństwa – ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą danych, ich zniszczeniem lub uszkodzeniem. Administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i zgodnie z zasadą rozliczalności musi być w stanie wykazać, że w swojej działalności stosuje odpowiednie procedury i metody. Jak przeprowadzić audyt zgodności z RODO?

Administrator danych sam wybiera sposób przeprowadzenia audytu

Pierwszym krokiem do prawidłowej realizacji obowiązków nałożonych przez przepisy RODO na administratora danych jest przeprowadzenie audytu zgodności z RODO.

Pod pojęciem „audyt zgodności z RODO” kryje się badanie metod ochrony danych osobowych stosowanych przez przedsiębiorcę z zasadami przewidzianymi w przepisach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (w skrócie nazywanego RODO).

Audyt zgodności z RODO powinien zostać przeprowadzony zarówno przed wdrożeniem procedur RODO, jak i w trakcie obowiązywania przepisów. Jednorazowe przeprowadzenie nie jest wystarczające – każdy podmiot przetwarzający dane osobowe na bieżąco powinien kontrolować, czy stosowane przez niego metody ochrony danych odpowiadają zakresowi przetwarzanych informacji i czy są wystarczające dla zapewnienia ich pełnego bezpieczeństwa.

Ważne!
Nie istnieje jedna poprawna metoda przeprowadzenia audytu zgodności z przepisami RODO. Każdy przedsiębiorca przetwarzający dane osobowe musi we własnym zakresie opracować metody dostosowane do charakteru jego działalności, zakresu przetwarzanych danych i pozwalające na najbardziej efektywne przeprowadzenie audytu.

Choć przepisy RODO nakładają na administratorów danych osobowych szereg obowiązków, nie wskazują jednej poprawnej metody ich realizacji – zarówno w zakresie konkretnych metod ochrony danych osobowych, jak i odnośnie do sposobu przeprowadzenia audytu zgodności. Do administratora danych należy wybór odpowiednich środków, które będą odpowiadały zarówno specyfice prowadzonej działalności (np. ilości przetwarzanych i przechowywanych danych osobowych, liczbie zatrudnianych pracowników, liczbie klientów itd.), jak i rodzajowi przetwarzanych danych i wdrożonym metodom ich ochrony.

Przedsiębiorca-administrator danych osobowych może przeprowadzić audyt samodzielnie, we własnym zakresie albo może zlecić jego dokonanie wyspecjalizowanej firmie. Niezależnie od wybranej metody, audyt powinien zakończyć się sporządzeniem raportu, o czym poniżej. 

Audyt zgodności z RODO - konieczne elementy 

W dwóch przedsiębiorstwach prowadzących taki sam rodzaj działalności metodologia przeprowadzenia audytu może być zupełnie odmienna, podobnie jak różne mogą być wyniki audytu i proponowane środki ochrony danych osobowych. Jak wspomniano powyżej, każdy administrator danych osobowych dysponuje pełną swobodą wyboru metod, środków i procedur związanych z przepisami RODO, pod warunkiem że ogólne zasady ich stosowania będą zgodne z zaleceniami rozporządzenia.

Podstawowym celem audytu jest ocena ewentualnego ryzyka pod kątem naruszenia zasad ochrony danych osobowych. Badanie zgodności ma na celu ustalenie przede wszystkim:

  • czynności, w ramach których przedsiębiorca przetwarza dane osobowe (np. zatrudnianie pracowników, obsługa klientów, zawieranie określonych rodzajów umów itp.);

  • specyfiki czynności przetwarzania danych;

  • rodzajów danych osobowych, jakimi dysponuje przedsiębiorca (w tym przede wszystkim zbadanie, czy przedsiębiorca przetwarza również dane szczególnie wrażliwe, jak na przykład dane biometryczne);

  • wdrożonych przez przedsiębiorcę uprzednio metod ochrony danych osobowych;

  • uchybień w stosowanych procedurach;

  • ewentualnych zagrożeń związanych z procedurami przetwarzania danych;

  • zaleceń i rekomendacji wdrożeniowych w celu zapewnienia przetwarzanym danym osobowym pełnej ochrony.

W ramach prowadzonego audytu można wyróżnić trzy podstawowe fazy:

  1. Zbieranie informacji o danych osobowych przetwarzanych przez przedsiębiorcę, czynnościach przetwarzania i stosowanych środkach ochrony;

  2. Analizę zebranych informacji;

  3. Opracowanie zaleceń i rekomendacji wdrożeniowych.

Przeprowadzając audyt zgodności z RODO, administrator danych osobowych powinien zwrócić w szczególności uwagę na następujące okoliczności:

  • czy zakres przetwarzanych przez administratora danych osobowych ma charakter minimalny (tj. czy przedsiębiorca nie pozyskuje danych osobowych w zakresie szerszym niż konieczny do wykonania przez niego swoich obowiązków – np. pozyskiwanie numeru PESEL w celu wykonania usługi wysyłki towaru);

  • w jaki sposób przedsiębiorca spełnia obowiązki informacyjne względem osób, których dane przetwarza;

  • jakimi danymi osobowymi dysponuje przedsiębiorca i czy znajdują się wśród nich dane wymagające wprowadzenia szczególnej ochrony;

  • czy treść klauzul i zgód stosowanych przez przedsiębiorcę odpowiada przepisom RODO;

  • czy przedsiębiorca ma obowiązek wyznaczenia inspektora ochrony danych osobowych;

  • czy przedsiębiorca ma obowiązek prowadzenia rejestru czynności przetwarzania danych;

  • prawidłowość i rzetelność stosowanych przez przedsiębiorcę dokumentów (np. regulaminy udostępniane klientom czy dokumenty polityki bezpieczeństwa);

  • zasady dostępu pracowników przedsiębiorcy do przetwarzanych i przechowywanych przez przedsiębiorcę danych osobowych;

  • wdrożone przez przedsiębiorcę środki ochrony (np. anonimizację czy pseudonimizację danych);

  • ocenę poziomu stosowanych zabezpieczeń.

Zakres prowadzonego audytu będzie różny dla różnych przedsiębiorców i w zależności od prowadzonej działalności każdy z przedsiębiorców będzie musiał zwrócić uwagę na czynności przetwarzania specyficzne dla jego firmy.

Raport zgodności z przepisami RODO

Przeprowadzenie audytu powinno zostać zakończone wydaniem raportu, w którym skonfrontowane zostaną wyniki audytu z kryteriami wprowadzonymi przez przepisy rozporządzenia. Przedsiębiorca otrzyma pisemny raport, jeżeli zdecyduje się na zlecenie przeprowadzenia audytu podmiotowi zewnętrznemu – firmie zajmującej się wdrażaniem procedur RODO. Jeżeli przedsiębiorca postanowi przeprowadzić audyt we własnym zakresie, jego sporządzenie będzie zależało wyłącznie od niego. RODO nie nakłada na administratorów danych obowiązku posiadania dokumentu raportu, jednakże z uwagi na możliwość przeprowadzenia kontroli przez inspektorów Urzędu Ochrony Danych Osobowych i konieczność wykazania zgodności z przepisami rozporządzenia, dysponowanie dowodem przeprowadzenia audytu jest wysoce zalecane.

Ważne!
RODO nie narzuca na administratora danych obowiązku sporządzenia raportu z przeprowadzonego audytu i – co za tym idzie – nie określa poprawnej formy jego wydania. Z uwagi na zasadę rozliczalności i obowiązek wykazania przez administratora danych osobowych zgodności funkcjonowania z zasadami RODO, administrator powinien dysponować raportem w formie dokumentu potwierdzającego fakt przeprowadzenia audytu, zastosowanej metodologii i wydanych zaleceń. Posiadanie pisemnego raportu pozwoli administratorowi danych na wykazanie spełnienia nałożonych na niego obowiązków w razie ewentualnej kontroli przestrzegania przepisów RODO.

Warto wskazać, że przedsiębiorca-administrator danych nie ma obowiązku przeprowadzania audytu zgodności. Przepisy RODO nakładają na podmioty przetwarzające dane osobowe szereg obowiązków, których spełnienie nie jest łatwym zadaniem. Uporządkowanie informacji o przetwarzanych danych i środkach ochrony pozwoli na wykrycie luk w systemach stosowanych przez przedsiębiorcę i prawidłowe dostosowanie działalności przedsiębiorcy do obowiązujących przepisów. Audyt zgodności jest narzędziem, które ułatwi przedsiębiorcy spełnienie ustawowych wymogów ochrony danych osobowych i pozwoli uniknąć ewentualnych negatywnych konsekwencji związanych z naruszeniem tych przepisów.