Audyt i wdrożenie RODO, kiedy i jak je przeprowadzić?

Co to jest RODO?

RODO jest ogólnym rozporządzeniem o ochronie danych osobowych. Zawiera przepisy o ochronie osób fizycznych, w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Kiedy powstało RODO?

Przepisy zostały przygotowane przez Parlament Europejski i Radę UE w kwietniu 2016 roku, a weszły w życie dnia 25 maja 2018 roku.

W jakim celu wprowadzono RODO?

Celem  unijnego rozporządzenia RODO jest doprowadzenie do całkowitego ujednolicenia prawa w ramach UE i swobodnego przepływu danych osobowych. W praktyce ma to pozwolić obywatelom na lepszą kontrolę ich danych osobowych, a tym samym zmodernizować biurokrację w firmach, korzystając ze zwiększonego zaufania klientów.

Wytyczne RODO

Rozporządzenie o Ochronie Danych Osobowych wprowadza:

• łatwiejszy dostęp do danych (zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób),
• nowe prawo do przenoszenia danych (ułatwia przesyłanie danych osobowych pomiędzy dostawcami usług),
• jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),
• prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego nadane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),
• technologie takie jak pseudonimizacja oraz

Jak wygląda audyt RODO?

Audyt zgodności z RODO jest pierwszym krokiem w procesie dostosowania działalności do przepisów wynikających z rozporządzenia o ochronie danych osobowych.

Taki audyt powinien zostać przeprowadzony zarówno przed wdrożeniem przepisów RODO, jak i w trakcie.

Administrator danych osobowych może przeprowadzić audyt samodzielnie, we własnym zakresie albo może zlecić jego dokonanie wyspecjalizowanej firmie. Niezależnie od wybranej metody, audyt powinien zakończyć się sporządzeniem raportu.

Podstawowym celem audytu jest ocena ewentualnego ryzyka pod kątem naruszenia zasad ochrony danych osobowych. Badanie zgodności ma na celu ustalenie przede wszystkim:

• czynności, w ramach których przedsiębiorca przetwarza dane osobowe (np. zatrudnianie pracowników, obsługa klientów, zawieranie określonych rodzajów umów itp.);
• specyfiki czynności przetwarzania danych;
• rodzajów danych osobowych, jakimi dysponuje przedsiębiorca (w tym przede wszystkim zbadanie, czy przedsiębiorca przetwarza również dane szczególnie wrażliwe, jak na przykład dane biometryczne);
• wdrożonych przez przedsiębiorcę uprzednio metod ochrony danych osobowych;
• uchybień w stosowanych procedurach;
• ewentualnych zagrożeń związanych z procedurami przetwarzania danych;
• zaleceń i rekomendacji wdrożeniowych w celu zapewnienia przetwarzanym danym osobowym pełnej ochrony.

W ramach prowadzonego audytu można wyróżnić trzy podstawowe fazy:

• Zbieranie informacji o danych osobowych przetwarzanych przez przedsiębiorcę, czynnościach przetwarzania i stosowanych środkach ochrony;
• Analizę zebranych informacji;
• Opracowanie zaleceń i rekomendacji wdrożeniowych.

Przeprowadzając audyt zgodności z RODO, administrator danych osobowych powinien zwrócić w szczególności uwagę na następujące okoliczności:

• czy zakres przetwarzanych przez administratora danych osobowych ma charakter minimalny (tj. czy przedsiębiorca nie pozyskuje danych osobowych w zakresie szerszym niż konieczny do wykonania przez niego swoich obowiązków – np. pozyskiwanie numeru PESEL w celu wykonania usługi wysyłki towaru);
• w jaki sposób przedsiębiorca spełnia obowiązki informacyjne względem osób, których dane przetwarza;
• jakimi danymi osobowymi dysponuje przedsiębiorca i czy znajdują się wśród nich dane wymagające wprowadzenia szczególnej ochrony;
• czy treść klauzul i zgód stosowanych przez przedsiębiorcę odpowiada przepisom RODO;
• czy przedsiębiorca ma obowiązek wyznaczenia inspektora ochrony danych osobowych;
• czy przedsiębiorca ma obowiązek prowadzenia rejestru czynności przetwarzania danych;
• prawidłowość i rzetelność stosowanych przez przedsiębiorcę dokumentów (np. regulaminy udostępniane klientom czy dokumenty polityki bezpieczeństwa);
• zasady dostępu pracowników przedsiębiorcy do przetwarzanych i przechowywanych przez przedsiębiorcę danych osobowych;
• wdrożone przez przedsiębiorcę środki ochrony (np. anonimizację czy pseudonimizację danych);
• ocenę poziomu stosowanych zabezpieczeń.

Jak przeprowadzić wdrożenie RODO w firmie?

KROK 1: Audyt bezpieczeństwa przetwarzania danych osobowych.

Należy przeprowadzić diagnozę pod kątem niezgodności z przepisami RODO. Dobrze wykonany audyt wykryje faktyczne braki w systemie i pozwoli prawidłowo wdrożyć RODO.

KROK 2: Analiza ryzyka.

Jest podstawą zabezpieczenia danych osobowych. Analiza ryzyka pozwala wdrożyć odpowiednie środki organizacyjne i techniczne.

RODO nie określa środków bezpieczeństwa. To do administratora należy decyzja, jakie środki będą odpowiednie.

KROK 3: Dokumentacja.

Przykładowe dokumenty RODO, jakie należy sporządzić to:

• Polityka ochrony danych osobowych (zbiór wszystkich procedur RODO);
• Zasady retencji danych ( w jaki sposób i kiedy usuwamy dane);
• Zasady privacy by design i privacy by default (w  jaki sposób zapewnić odpowiedni poziom bezpieczeństwa przy projektach IT)
• Struktura organizacyjna w zakresie ochrony danych osobowych (Kto i za co odpowiada)
• Ewidencja upoważnień (Kontrola liczby osób upoważnionych);
• Ocena skutków dla ochrony danych osobowych (Kiedy i w jaki sposób oceniane są te skutki);
• Procedura nadawania upoważnień (W jaki sposób i komu nadawane są upoważnienia);
• Procedura szkoleń (w  jaki sposób szkolony jest personel);
• Postępowanie z incydentami ochrony danych osobowych (Kto i w jaki sposób reaguje na incydenty);
• Rejestr czynności przetwarzania (opis procesów przetwarzania);
• Rejestr kategorii czynności przetwarzania (zapis wszystkich informacji w zakresie danych, jakie zostały powierzone).

Chcesz wdrożyć RODO? Pomożemy Ci. Zbierzemy potrzebne informacje, sporządzimy dokumenty, przeprowadzimy konsultacje.

Kary za naruszenie RODO

Rozporządzenie przewiduje karę nawet do 20 mln euro. Nie jest to co prawda kwota, która będzie brana pod uwagę przy małych przedsiębiorstwach, ale pokazuje to jak poważnie traktowana jest kwestia danych osobowych.

Kary nakładane są w drodze administracyjnej przez  Prezesa UODO. Przewidywane są dwie kategorie kar finansowych:

• kara administracyjna w wysokości  do 10 lub 20 mln euro;
• 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa.

Decyzja co do wysokości kary zależy od:

• charakteru czynu, jego wagi i czasu trwania naruszenia;
• działań podjętych w celu zminimalizowania szkody;
• stopnia odpowiedzialności administratora danych;
• zachowaniu po naruszeniu zasad ochrony;
•  innych czynników.

Oprócz kar finansowych, naruszenie RODO może skutkować również odpowiedzialnością karną.

W zależności od popełnionego czynu, przepisy RODO przewidują: karę grzywny, ograniczenie wolności lub pozbawienie wolności.

Odpowiedzialność karną za niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych ponoszą zawsze osoby fizyczne, którym można przypisać to działanie. Zatem kara pozbawienia wolności nie może zostać orzeczona wobec administratora, ale wobec pracownika, który dopuścił się naruszenia zasad RODO.

Działamy na terenie całej Polski. Zapraszamy do współpracy. Wybierając Doradców365 skorzystasz z profesjonalnej obsługi doświadczonych specjalistów.