Każda firma prowadząca działalność operacyjną i zatrudniająca pracowników pełni rolę administratora danych osobowych (ADO). Status ten nakłada na organizację ustawowy obowiązek zapewnienia bezpieczeństwa przetwarzanych informacji oraz ścisłego przestrzegania przepisów RODO. Audyt ochrony danych osobowych to nie tylko formalność, ale realne zabezpieczenie przed dotkliwymi karami, które Prezes UODO nakłada za zaniedbania wynikające z braku analizy ryzyka, aktualizacji procesów, umów powierzenia czy weryfikacji procesorów.
Wielu przedsiębiorców żyje w przekonaniu, że raz wdrożona dokumentacja RODO wystarczy na zawsze. Ale firma nie stoi w miejscu, rozwija się. Warto sprawdzić, czy procedury wdrożone kilka lat temu są adekwatne do obecnej rzeczywistości. W ten sposób upewnisz się, że rozwój organizacji idzie w parze z zachowaniem odpowiedniego stopnia bezpieczeństwa.
Jeśli prowadzisz jedną z takich rozwijających się firm, w kontekście audytu RODO polecam zwrócić uwagę przede wszystkim na te cztery obszary.
1. Aktualność Rejestru Czynności Przetwarzania (RCP)
Zgodnie z art. 30 RODO rejestr musi odzwierciedlać stan faktyczny. To oznacza, że każdy nowy projekt biznesowy, który wiąże się ze zbieraniem danych osobowych, każde wdrożenie nowego oprogramowania lub systemu czy zmiana podwykonawcy (np. biura rachunkowego) musi zostać odnotowana w rejestrze.
Dlaczego to takie ważne?
Po pierwsze nieaktualny RCP jest naruszeniem przepisów RODO. Prezes UODO rygorystycznie podchodzi do kompletności rejestrów, o czym przekonał się Toyota Bank Polska S.A., na którego Prezes UODO nałożył pieniężną karę administracyjną. Więcej przeczytasz tu.
Po drugie aktualny RCP to potężne narzędzie do zarządzania ryzykiem. Właściwie prowadzony rejestr pozwala na precyzyjne mapowanie przepływu danych oraz szybką identyfikację luk w systemie ochrony. RCP zamienia biurokratyczny wymóg w realny benefit, budując wiarygodność firmy w oczach organów nadzorczych i klientów.
Mit „250 pracowników” – czyli najczęstsze błędy i pułapki
Wielu przedsiębiorców błędnie zakłada, że skoro zatrudniają mniej niż 250 osób, są całkowicie zwolnieni z obowiązku prowadzenia RCP. Wynika to z nieprawidłowej interpretacji art. 30 ust. 5 RODO, co profesjonalny audyt ochrony danych osobowych szybko weryfikuje jako błąd. W praktyce zwolnienie to dotyczy znikomej liczby podmiotów. W związku z licznymi wątpliwościami kwestię tę doprecyzowała Grupa Robocza Art. 29 (obecnie EROD). Szczegóły znajdziesz tu.
Kolejnymi często spotykanymi nieprawidłowością są:
- zbyt ogólny opis czynności przetwarzania,
- w ogóle nie ujęcie czynności przetwarzania w rejestrze,
- błędna identyfikacja podstawy przetwarzania,
- brak ujęcia wszystkich narzędzi wykorzystywanych w procesach przetwarzania danych.
Administratorzy zazwyczaj nie mają świadomości tych braków, dlatego rzetelny audyt RODO jest pomocny przy identyfikacji tych i wielu innych nieprawidłowości, które mogą skutkować dotkliwymi karami finansowymi.
Jeśli natomiast chcesz samodzielnie popracować nad swoim rejestrem, tutaj znajdziesz wskazówki i wyjaśnienia od Urzędu Ochrony Danych Osobowych.
2. Audyt zewnętrzny a ochrona danych osobowych – weryfikacja procesorów i umowy powierzenia
Wraz z rozwojem firmy rośnie liczba partnerów, którym zlecasz konkretne zadania. Często te zadania wiążą się z przetwarzaniem danych klientów, kontrahentów czy pracowników.
Przykładowo biuro rachunkowe przetwarza informacje o wynagrodzeniach pracowników, być może prowadzi również akta osobowe, agencja marketingowa wysyła firmowy newsletter do klientów, a dostawca rozwiązań chmurowych przechowuje dane firmowe.
Te zewnętrzne firmy to świecie RODO procesorzy, inaczej podmioty przetwarzające, którym organizacja zleca operacje na danych osobowych, których jesteś administratorem.
Administrator musi pamiętać, że każda taka operacja wymaga podpisania umowy powierzenia. Umowa powinna zawierać wszystkie elementy wskazane w art. 28 RODO. Obowiązkiem administratora jest też stałe kontrolowanie czy partnerzy, którym zlecił zadania należycie chronią powierzone im zasoby.
Urząd Ochrony Danych Osobowych podchodzi do tematu powierzenia bardzo rygorystycznie, kładąc nacisk na zasadę rozliczalności. Oznacza to, że Administrator musi być w stanie w każdej chwili udowodnić, że procesor przetwarza dane w sposób bezpieczny.
Audyt RODO – jak zweryfikować procesy i umowy?
Poniżej znajdziesz zestawienie kluczowych aspektów, na które należy zwrócić uwagę w czasie audytu tego obszaru.
| Audyt zgodności z RODO – zagadnienie | Stanowisko UODO | Konsekwencje dla ADO |
|---|---|---|
| Wybór procesora | Administrator musi zweryfikować, czy firma, której planuje powierzyć dane, daje wystarczające gwarancje bezpieczeństwa. | Brak weryfikacji procesora naraża ADO na kary finansowe, co znajduje potwierdzenie w decyzjach UODO (link tu oraz tu). |
| Umowa powierzenia | Powierzenie bez pisemnej lub elektronicznej umowy jest rażącym naruszeniem prawa. | Brak umowy to jeden z najczęstszych powodów nakładania kar finansowych przez UODO (przykład – link tu). |
| Zakres i rozliczalność działań procesora | Procesor jest jedynie „narzędziem”, może przetwarzać dane tylko na polecenie administratora. ADO musi być w stanie udowodnić, że nadzoruje procesora przez cały czas trwania współpracy. | ADO musi precyzyjnie określić w umowie dopuszczalne operacje. Powinien również regularnie korzystać z prawa do audytu i kontroli zapisanego w umowie (zob. decyzję UODO tu) |
| Podwykonawcy (podprocesorzy) | UODO wymaga pełnej przejrzystości w tzw. dalszym powierzeniu (podprocesorzy). | ADO ma obowiązek weryfikować nie tylko swojego procesora, ale też to, czy procesor narzucił identyczne standardy bezpieczeństwa swoim podwykonawcom, co wynika m.in. z decyzji (link tu) oraz Wytycznych EROD 07/2020 (link z wytycznymi do pobrania). |
3. Obowiązek informacyjny – audyt zgodności z RODO
Realizacja obowiązku informacyjnego jest jednym z ważniejszych zadań, jakie spoczywają na administratorze. Obowiązek ten został określony w art. 13 i 14 RODO. Jest on ściśle związany z fundamentalnymi zasadami rzetelności i przejrzystości.
Osoba, której dane przetwarzasz, musi mieć pełną świadomość tego procesu, aby móc podejmować świadome decyzje dotyczące swojej prywatności. Warto pamiętać, że niespełnienie obowiązku nie jest błahym uchybieniem, może prowadzić do wysokich kar. Pierwsza nałożona przez UODO kara finansowa o wysokości ponad 900 tys. zł dotyczyła właśnie naruszenia art. 14 RODO. Więcej na ten temat przeczytasz tu.
Kwestia ta jest przedmiotem niesłabnącego zainteresowania UODO, o czym świadczą liczne stanowiska i opnie, np. te dotyczące spełnienia obowiązku informacyjnego w izbach wytrzeźwień, w lasach państwowych czy przy umowach handlowych.
Audyt z ochrony danych osobowych – jak sprawdzić obowiązek informacyjny?
Oto zestawienie kluczowych elementów obowiązku informacyjnego, które warto zweryfikować wraz ze wzrostem firmy.
| Aktualność danych adresowych | Czy w klauzuli widnieją dane obecnego IOD? Częstym błędem jest pozostawienie w dokumentacji imiennych adresów pracowników poprzedniej firmy doradczej. Po zakończeniu współpracy administrator traci kontrolę nad tym kanałem komunikacji, co uniemożliwia realizację praw osób, których dane przetwarzasz.Czy dane kontaktowe UODO są aktualne? Czy uwzględniono ostatnią zmianę siedziby organu nadzorczego. |
| Podstawy prawne | Czy wskazano właściwą podstawę z art. 6 i art. 9 RODO dla każdego celu?
Podawanie błędnej podstawy narusza zasadę rzetelności, o czym przekonał się m.in. Kancelaria PIONIER. |
| Cele i sposoby przetwarzania | Czy jasno opisano, po co i jak dane są przetwarzane?
Czy np. zamiast ogólnikowego opisu „obsługa umowy o pracę” w klauzuli dla pracownika wskazano realne cele, takie jak: np. prowadzenie ewidencji wydanego sprzętu, realizacja zgłoszeń do ZUS, podnoszenie kwalifikacji (szkolenia), zarządzanie benefitami pracowniczymi, monitorowanie logowań i dostępów do systemów IT, itd.? |
| Przekazywanie danych poza EOG | Czy na pewno firma nie przesyła danych do państw trzecich.
Jeśli wykorzystuje narzędzia takie jak Facebook, Google Analytics, LinkedIn czy Microsoft prawdopodobnie dochodzi do transferu danych. Powszechnym błędem jest deklarowanie w klauzulach, że dane nie są przekazywane poza EOG przy jednoczesnym używaniu rozwiązań dostawców z USA. |
| Przejrzystość informacji | Czy klauzula jest napisana prostym językiem, zrozumiałym dla klienta, a nie tylko dla prawnika?
Błędem jest prezentowanie ściany tekstu pełnej paragrafów. Informacja musi być zrozumiała dla laika. Stanowisko to wielokrotnie podkreślał UODO w swoich wystąpieniach i decyzjach. |
4. Audyt ochrony danych osobowych – analiza ryzyka
Firma rozwija się, a więc i skala operacji oraz przepływ danych zmieniają się. Jeśli analiza ryzyka nie uwzględnia nowych działów, procesów, narzędzi informatycznych przestaje być adekwatna do rzeczywistych zagrożeń.
Zgodnie z RODO, w szczególności Art. 24 i 32, każdy podmiot musi samodzielnie oceniać zagrożenia, jakie przetwarzanie danych może spowodować dla praw i wolności osób fizycznych.
Aby ułatwić administratorom to zadanie, Prezes UODO przygotował dwuczęściowy poradnik, szczegóły znajdziesz tu.
Czego uczą nas kary nakładane przez Prezesa UODO?
Analiza ryzyka to obszar, w którym organizacje wciąż popełniają te same błędy. Przykłady decyzji organu nadzorczego, gdzie UODO wskazał, że rzetelna analiza ryzyka i procedury kontrolne pozwoliłyby na uniknięcie kary, są jasnym sygnałem, że ten obszar jest istotny.
Więcej na temat tego, jak UODO zapatruje się na ten temat możesz dowiedzieć się z:
- decyzji DKN.5131.10.2023, którą UODO nałożył karę dla zakładu pogrzebowego,
- decyzji DKN.5131.48.2022, która dotyczy kary dla szpitala,
- decyzji DKN.5131.30.2022, gdzie UODO argumentuje podstawę do ukarania Gminnego Ośrodka Pomocy Społecznej
- decyzji ZSPR.421.2.2019, która dotyczy głośnej sprawy kaya dla Morele.net.
Decyzje UODO z reguły podtrzymywane są przez sądy.
Audyt ochrony danych osobowych – podsumowanie
Dynamiczny rozwój firmy to powód do dumy, ale i ogromne wyzwanie dla bezpieczeństwa danych osobowych. W świecie RODO bezpieczeństwo to proces, który musi skalować się razem z biznesem.
Kwestie opisane powyżej to jedne z wielu kluczowych elementów, które powinien objąć rzetelny audyt ochrony danych osobowych. Specyfika każdej rosnącej organizacji jest inna i nie sposób opisać wszystkich ryzyk oraz wymaganych zabezpieczeń w jednym artykule.
Pamiętaj, że audyt RODO to nie kontrola z urzędu, to Twój system wczesnego ostrzegania. Pozwala uszczelnić luki zanim ktoś je wykorzysta i daje spokój przy dalszym skalowaniu biznesu.
