Przedsiębiorcy często nie mają pewności, w jaki sposób należy prawidłowo przetwarzać dane osobowe w firmie. Wiąże się to także z niewiedzą w zakresie sposobu zabezpieczania poufnych informacji –niepewnością, z której strony może pojawić się zagrożenie wycieku danych osobowych, gdzie znajduje się faktyczna luka w zabezpieczeniach, z którą wiąże się ryzyko. Pomocny w tym względzie może być audyt ochrony danych osobowych, czyli audyt RODO, w trakcie którego w sposób szczegółowy analizowane są poszczególne aspekty działania firmy. Sprawdzane są wdrożone procedury, a te których brakuje zostają wprowadzone. Audyt RODO ma na celu, generalnie rzecz ujmując, sprawdzenie, a dzięki temu zapewnienie odpowiedniego zabezpieczenia danych. Jak to wygląda w praktyce?
Zakres audytu RODO zależy w dużej mierze od branży, dla jakiej się go wykonuje. W niektórych przypadkach wymagane mogą być zupełnie odmienne niż dla innych przedsiębiorców procedury bezpieczeństwa danych osobowych, które powinno się wdrożyć, ze względu na obszar, w jakim firma działa i specyficzne dla niej ryzyka. Dlatego inaczej będzie prowadzony audyt RODO IT, jeszcze inaczej audyt dla agencji rekrutacyjnej, a jeszcze inaczej audyt RODO dla podmiotu medycznego. Kancelaria prawna, która wykonuje audyt zawsze dostosowuje się do konkretnego klienta podczas przeprowadzania audytu. Istotą całej operacji jest zapewnienie bezpieczeństwa, dlatego tak ważne jest dostosowanie wymogów i procedur do konkretnej branży.
Można jednak oczywiście wyróżnić pewne elementy audytu, które w pewnym zakresie zobrazują jego przebieg oraz to, jakie aspekty działania firmy mogą być w trakcie audytu poddane analizie:
– regulamin strony internetowej;
– polityka prywatności;
– polityka cookies;
– zgody marketingowe;
– regulamin pracy;
– wzór umowy B2B;
– wzór umowy o pracę;
– wzór umowy cywilnoprawnej;
– aktualne umowy z kontrahentami (m.in. umowa z biurem księgowym, umowa z dostawą oprogramowania, umowa dotycząca niszczenia dokumentów);
– istniejące dokumenty RODO (polityki, rejestry, procedury, polityka haseł, instrukcje dotyczące systemów informatycznych);
Kiedy zdecydujemy się przeprowadzić kompleksowy audyt RODO w firmie, możemy stworzyć przy tym raport przetwarzania danych osobowych. Zostają w nim zawarte rekomendacje i wskazówki dla poszczególnych działów firmy oraz dla przedsiębiorstwa jako całości. Raport służy przede wszystkim temu, aby wskazać te elementy działalności, które powinny ulec poprawie i jednocześnie zawiera on propozycje rozwiązań w tym zakresie. Ten opracowany na podstawie audytu dokument ma służyć pomocą przedsiębiorcy w opracowaniu strategii udoskonalenia procesu przetwarzania i ochrony danych osobowych zgodnie z obowiązującymi przepisami RODO i najnowszymi rekomendacjami i wytycznymi, w tym wytycznymi EROD (Europejskiej Rady Ochrony Danych Osobowych) oraz UODO (Urzędu Ochrony Danych Osobowych).
Przeprowadzenie audytu, którego efektem jest raport przetwarzania danych osobowych, stanowi w pewnym sensie jedynie wstęp do dalszych działań, kiedy przygotowana i wdrożona zostaje dokumentacja RODO, niezbędna dla danej firmy albo dotychczas istniejąca dokumentacja zostaje poddana niezbędnym zmianom i poprawkom. Informacje, jakie zawarte zostają w raporcie przetwarzania danych osobowych, stanowią podstawę do stworzenia dokumentów, które są specjalnie dopasowane do działalności poddawanej audytowi firmy. Uwzględniają one sytuację firmy oraz branżę, w której ona działa. Można orzec, że audyt i wdrożenie odpowiednich procedur stanowi podstawę zapewnienia bezpieczeństwa danych, jaką może zaoferować administrator danych osobowych.
RODO nie stanowi jedynych przepisów, jakie są brane pod uwagę podczas audytu ochrony danych osobowych. Należy zaznaczyć, że ze względu na zapewnienie pełnej zgodności procesów przetwarzania danych osobowych w firmie konieczna jest znajomość orzecznictwa sądów, a poza tym wszelkich wytycznych, rekomendacji i zaleceń organów nadzorczych. Ponadto ze względu na międzynarodowy charakter RODO, podczas audytu, często wymagane jest uwzględnienie nie tylko zaleceń Urzędu Ochrony Danych Osobowych (UODO), lecz również wytycznych Europejskiej Rady Ochrony Danych Osobowych (EROD), a pomocniczo także wytycznych organów nadzorczych w innych krajach (np. francuskiego CNIL czy brytyjskiego ICO).
W trakcie audytu brane są także pod uwagę inne przepisy krajowe, mające wpływ na przetwarzanie danych osobowych w przedsiębiorstwie. Są to, między innymi, Kodeks pracy, ustawa o rachunkowości, ustawa o świadczeniu usług drogą elektroniczną, czy prawo telekomunikacyjne lub inne przepisy, często specyficzne dla danej branży. Dzięki wykorzystaniu znajomości tych wszystkich przepisów i zaleceń możliwe jest:
Po przeprowadzeniu audytu, dzięki zapoznaniu się z indywidualną sytuacją firmy, możliwe jest przygotowanie odpowiednich dokumentów, które są konieczne do zapewnienia ochrony danych osobowych w organizacji. Przykładowe dokumenty, jakie zostają przygotowane po dokonaniu audytu to (ze względu na zawsze indywidualny charakter audytu nie jest to pełna lista):
Szczególne znaczenie w dokumentacji RODO mają analiza ryzyka oraz ocena skutków dla ochrony danych. Analiza ryzyka musi zostać przeprowadzona w zakresie procesów przetwarzania danych w firmie. W niektórych przypadkach może również objąć swoim zakresem konkretny proces przetwarzania danych osobowych (np. analiza ryzyka stosowania monitoringu wizyjnego, analiza ryzyka aplikacji IT, analiza ryzyka działań rekrutacyjnych). Dopiero podczas wykonywania audytu zostaje zazwyczaj podjęta decyzja czy dana analiza ryzyka jest konieczna.
Ocena skutków dla ochrony danych (DPIA) jest kwalifikowaną oceną ryzyka, która w niektórych przypadkach jest obowiązkowa. Przeprowadzenie takiej analizy jest niezbędne w sytuacji, gdy przetwarzanie danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych (art. 35 RODO). Ocena taka nie zawsze jest łatwa, dlatego warto skorzystać ze wsparcia wykwalifikowanej kancelarii prawnej, która pomoże dokonać odpowiedniej weryfikacji w oparciu o przepisy RODO oraz odpowiednie wytyczne organów nadzorczych i Grupy Roboczej art. 29.
Obecnie firmy, które działają w Polsce często współpracują z przedsiębiorstwami z innych krajów. Taka działalność może wiązać się z transferem danych osobowych do kraju trzeciego, czyli poza obszar terytorium Europejskiego Obszaru Gospodarczego (EOG). Taki transfer nie zawsze uznawany jest za bezpieczny z punktu widzenia RODO. Konieczne jest często podjęcie wtedy dodatkowych środków, jak np. podpisanie standardowych klauzul umownych, czy zastosowanie odpowiednich środków technicznych zabezpieczających taki transfer danych.
Odpowiednia kancelaria prawna dokonuje weryfikacji czy transfer do określonych krajów jest bezpieczny i dozwolony na gruncie RODO, a w razie konieczności pomaga przygotować stosowne procedury bezpieczeństwa. Wskazuje jak zabezpieczyć taki transfer, jakie umowy, dotyczące ochrony danych, należy podpisać.
Należy pamiętać, że do międzynarodowego transferu danych dochodzi nie tylko w przypadku współpracy z firmą mającą siedzibę w kraju trzecim. Transfer danych osobowych może mieć miejsce także w następujących przypadkach:
>>>Szukasz więcej na temat transferu danych do krajów trzecich? Sprawdź: Jak prawidłowo przekazywać dane osobowe do krajów trzecich?
Firma, w której działalności pojawia się w jakikolwiek sposób przetwarzanie danych osobowych, powinna przeprowadzać cykliczne audyty RODO. Najlepiej jest zlecić takie działanie wykwalifikowanej kancelarii prawnej, która specjalizuje się w ochronie danych osobowych. Często przedsiębiorcy nie zdają sobie sprawy, jak bardzo dotyczy ich ten temat. Dopiero po nałożeniu kar przez organy nadzorcze, okazuje się jak ważne jest regularne sprawdzanie aktualności zabezpieczeń i stosowania odpowiednich procedur, które należy wdrażać.
