Poradnik Przedsiębiorcy

Jak przeprowadzić audyt zgodności z RODO?

Przetwarzasz dane osobowe i chcesz dostosować się do aktualnie obowiązujących przepisów? Od 25 maja 2018 r. bezpośrednie zastosowanie w stosunku do przetwarzania danych przez polskich przedsiębiorców znajduje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej: „RODO”) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. l nr 119, str. 1). Jak przeprowadzić audyt zgodności z RODO, by mieć pewność, że nie zaskoczy cię kontrola z Urzędu Ochrony Danych Osobowych?

Jakie dane osobowe przetwarzasz?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Chodzi w tym przypadku o bezpośrednią lub pośrednią identyfikację, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Ważne!
Każde informacje o zidentyfikowanej osobie lub informacje, na których podstawie możemy daną osobę zidentyfikować bez nadmiernych utrudnień, to dane osobowe.

Przeprowadzając audyt zgodności z RODO, musisz przeanalizować swoją działalność pod kątem zbierania informacji o powyższym charakterze. W tym celu warto zadać sobie kilka pytań pomocniczych:

  • Czy zatrudniasz pracowników?
  • Czy współpracujesz z innymi podmiotami na podstawie umowy zlecenia, o dzieło lub innej umowy cywilnoprawnej?
  • Czy prowadzisz rekrutację wśród kandydatów do pracy lub współpracy?
  • Czy zatrudniasz stażystów lub praktykantów?
  • Czy przetwarzasz dane osobowe swoich klientów?
  • Czy przetwarzasz dane osobowe swoich dostawców i kontrahentów?
  • Czy stosujesz newsletter?
  • Czy stosujesz pliki cookie lub inne narzędzia o podobnym działaniu?
  • Czy przetwarzasz dane osobowe na fanpage'ach i w innych miejscach w mediach społecznościowych?
  • Czy wykorzystujesz monitoring? Kogo obejmuje zapis z kamery?
  • Czy w jakimś celu zbierasz i zapisujesz czyjeś dane, np. w ramach rejestrowania wejść i wyjść z budynku czy też w celu organizowania promocji?
  • W jakich innych sferach dochodzi do przetwarzania danych osobowych w twoim przedsiębiorstwie?

Ważne!
Przeprowadzając audyt zgodności z RODO, powinieneś odpowiedzieć sobie na pytanie, jakie dane i w jakich obszarach przetwarzasz. Na tej podstawie będzie można określić dalsze działania i konieczne do spełnienia obowiązki – w tym w szczególności można będzie wskazać, wobec kogo należy zrealizować obowiązek informacyjny.

Warto pamiętać, że nawet jeśli drugą stroną umowy (kontrahentem, dostawcą itd.) nie jest osoba fizyczna, to najczęściej kontrakt będzie zawierał dane osobowe, np. reprezentanta lub pełnomocnika, a często również osoby do kontaktu. Tym samym dane tych osób również są danymi osobowymi, które powinieneś przetwarzać zgodnie z RODO.

W jaki sposób przetwarzasz dane osobowe?

Przed wdrożeniem odpowiednich działań wymaganych przez RODO należy się również zastanowić nad tym, w jaki sposób i w jakim zakresie przetwarzasz dane osobowe w swoim przedsiębiorstwie.

Chodzi przede wszystkim o odpowiedź na następujące pytania:

  • Czy dane osobowe są przetwarzane w sposób zautomatyzowany?
  • Czy z przetwarzaniem danych związane jest zautomatyzowane podejmowanie decyzji?
  • Czy dane są wykorzystywane do profilowania?
  • Czy dane są przekazywane do państw spoza EOG?

Odpowiedź na powyższe pytania pozwoli na dookreślenie zakresu twoich obowiązków jako administratora danych osobowych, w tym między innymi obowiązku informacyjnego czy obowiązków związanych z realizacją praw osób, których dane dotyczą.

Czy powierzasz dane osobowe do przetwarzania innym podmiotom?

Kolejnym pytaniem, z którym musisz się zmierzyć, jest określenie twojej roli i roli innych podmiotów, wraz z którymi przetwarzasz dane osobowe. Twoja rola może polegać bądź na byciu administratorem danych, bądź na spełnianiu funkcji podmiotu przetwarzającego (procesora).

Ważne!
Jeżeli zidentyfikujesz taki proces w swoim przedsiębiorstwie, konieczne będzie sporządzenie stosownych umów o powierzenie danych do przetwarzania oraz spełnienie dodatkowych obowiązków z RODO.

Rozdzielenie tych ról nie zawsze jest proste. W uproszczeniu można jednak wskazać, że jeżeli w ramach swojego przedsiębiorstwa polecasz wykonanie swoich zadań na zewnątrz, a z tym procesem wiąże się przekazanie danych osobowych dotyczących tego zadania – to powierzasz dane do przetwarzania procesorowi, a sam jesteś administratorem. Tam gdzie przedsiębiorca stosuje outsourcing usług, tam najczęściej mamy do czynienia z powierzeniem danych do przetwarzania.

Kogo i w jakim zakresie upoważniasz do przetwarzania danych osobowych?

W przedsiębiorstwie dane do przetwarzania powierzamy jednak nie tylko procesorom, lecz także pracownikom i współpracownikom realizującym zadania w ramach przedsiębiorstwa.

W toku audytu musisz postawić sobie pytanie, czy i komu udostępniasz zbierane przez ciebie jako administratora dane? Czy pracownicy/współpracownicy zostali formalnie upoważnieni do przetwarzania tych danych? Czy zostali zobowiązani do zachowania powierzonych danych w poufności? Czy zakres udostępnionych danych i zakres upoważnienia są odpowiednie w stosunku do powierzonych zadań czy też wykraczają poza ich granice?

Jeżeli w ramach przedsiębiorstwa funkcjonują osoby, którym udostępniasz dane osobowe, konieczne jest sporządzenie stosownego upoważnienia. Pamiętaj o zobowiązaniu pracownika/współpracownika do zachowania danych osobowych w poufności.

Czy powinieneś powołać IOD?

Na dalszym etapie audytu zgodności z RODO należy się zastanowić, czy w przypadku twojego przedsiębiorstwa konieczne będzie powołanie Inspektora Ochrony Danych. Jako przedsiębiorca powinieneś rozważyć:

  • Czy twoja główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę?

  • Czy twoja główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO?

Jeśli na chociaż jedno z powyższych pytań odpowiedziałeś twierdząco, konieczne będzie powołanie IOD zgodnie z procedurą zawartą w RODO. Jeżeli powyższy obowiązek cię nie dotyczy, zawsze możesz powołać IOD dobrowolnie.

Jakie rejestry powinieneś prowadzić?

RODO wymienia kilka rejestrów, które powinieneś prowadzić, jeżeli spełniasz przesłanki wskazane w tym rozporządzeniu. Każdego administratora danych osobowych dotyczy obowiązek prowadzenia rejestru naruszeń ochrony danych osobowych. Z uwagi na sposób sformułowania przesłanek w RODO w zasadzie każdy administrator zatrudniający pracowników (a więc przetwarzający dane osobowe regularnie) powinien prowadzić rejestr czynności przetwarzania. Takie stanowisko potwierdza Grupa Robocza art. 29 (Stanowisko grupy roboczej artykułu 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO).

Jakim innym obowiązkom możesz podlegać?

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania ma obowiązek dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

W ramach audytu powinieneś zatem zbadać, czy w twoim przedsiębiorstwie konieczne będzie przeprowadzenie oceny skutków przetwarzania danych osobowych. W tym celu należy sprawdzić:

  • Czy w twoim przedsiębiorstwie ma miejsce systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną?
  • Czy przetwarzasz na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO?
  • Czy systematycznie monitorujesz na dużą skalę miejsca dostępne publicznie?
  • Czy z innych względów przetwarzanie danych w twoim przedsiębiorstwie powoduje duże ryzyko naruszenia ochrony danych osobowych?

Jeżeli odpowiedziałeś twierdząco na chociaż jedno z powyższych pytań, konieczne będzie przeprowadzenie oceny skutków przetwarzania danych zgodnie z procedurą opisana w RODO.

Audyt zgodności z RODO – podsumowanie

Odpowiedzi na wszystkie powyższe pytania należy skonfrontować z odpowiednimi przepisami RODO. Zakres przetwarzanych danych i sposób ich przetwarzania determinował będzie między innymi treść klauzuli informacyjnej, regulaminów i polityk prywatności, a także rejestrów. Do tego zakresu należy również dostosować środki bezpieczeństwa.

Warto pamiętać, że co prawda RODO nie narzuca konieczności tworzenia konkretnej  dokumentacji, ale zgodnie z zasadą rozliczalności w razie kontroli powinieneś być w stanie wykazać zgodność przetwarzania z RODO. Dlatego też warto dokumentować kolejne kroki podejmowane zarówno w trakcie audytu, jak i po jego przeprowadzeniu.

Jeśli chcesz zasięgnąć bardziej szczegółowych informacji na temat wymienionych powyżej obowiązków z RODO – zachęcamy do zapoznania się z innymi artykułami dotyczącymi tej tematyki na naszym portalu!