Audyt zgodności z RODO - jak wygląda?

Audyt zgodności z RODO - jak wygląda?

Skuteczna ochrona danych osobowych jest obecnie obowiązkiem każdej firmy. Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane w skrócie RODO. Audyt RODO i wdrożenie RODO jest zadaniem każdej firmy, która przetwarza dane osobowe w swojej działalności. Możesz zdecydować się na samodzielny audyt RODO i wdrożenie RODO lub zlecić je naszemu prawnikowi. Nasza Kancelaria RODO pomoże Ci przeprowadzić szybko i sprawie audyt  RODO w firmie i zapewnić bezpieczeństwo przetwarzanych przez Ciebie danych osobowych. Przeprowadzi audyt zgodności z RODO oraz przygotuje wzorcową, dostosowaną do rodzaju działalności i branży „szytą na miarę” dokumentację i polityki.

Zapraszamy do kontaktu. Więcej na: https://krpj.pl/specjalizacja/ochrona-danych-osobowych-rodo/

Istota RODO

Zgodnie z zasadami wskazanymi w przepisie art. 5 RODO wszystkie dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Administrator danych jest uprawniony do zbierania i przetwarzania danych wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach („ograniczenie celu”), w zakresie adekwatnym do swoich potrzeb („minimalizacja danych”) i przez minimalny okres konieczny do spełnienia celu przetwarzania („ograniczenie przechowywania”). Przetwarzane przez administratora dane, które okażą się nieprawidłowe, powinny z kolei zostać niezwłocznie poprawione, sprostowane lub usunięte („prawidłowość”). Ponadto każda firma jako administrator danych jest zobligowana przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Jak wygląda audyt RODO?

Firma jako administrator danych jest odpowiedzialna za przestrzeganie przepisów RODO i zgodnie z zasadą rozliczalności musi być w stanie wykazać, że stosuje odpowiednie środki i procedury aby chronić przetwarzane przez siebie dane osobowe. Pierwszym krokiem aby zweryfikować czy Twoja firma realizuje obowiązki wynikające z RODO jest przeprowadzenie audytu zgodności z RODO. Nie ma jednego sztywnego sposobu czy metody na wykonanie audytu. RODO również takiego nie wskazuje. To administrator danych sam wybiera sposób w jaki przeprowadzi audyt RODO. Musisz samodzielnie opracować taki sposób przeprowadzenia audytu w firmie, który będzie najefektywniejszy. Musisz uwzględnić m.in. charakter prowadzonej działalności, wielkość firmy, ilość zatrudnionych pracowników, klientów, kontrahentów, ilość zbieranych i przetwarzanych danych, rodzaj danych (dane zwykłe, dane wrażliwe) i dotychczas zastosowane rozwiązania mające na celu ochronę danych. Audyt RODO to najprościej mówiąc badanie czy stosowane przez firmę środki techniczne i organizacyjne, przyjęte polityki i instrukcje mające zapewnić w firmie ochronę danych osobowych są zgodne z zasadami i wymogami nałożonymi przez RODO. Audyt RODO czyli audyt zgodności z RODO powinien zostać przeprowadzony zarówno przed wdrożeniem RODO w firmie, jak i cyklicznie podczas prowadzenia przez firmę działalności. Jednorazowe przeprowadzanie audytu RODO jest błędem i nie jest wystarczające. Każda firma jako administrator musi na bieżąco kontrolować czy wdrożony system ochrony danych osobowych jest skuteczny i wystarczający aby zapewnić bezpieczeństwo przetwarzanych danych. Dlatego tak ważne są cykliczne przeglądy stosowanych metod ochrony danych osobowych i szkolenia pracowników.

Podstawowym celem audytu jest ocena ryzyka jakie może wystąpić gdy dojdzie już w firmie do naruszenia zasad ochrony danych osobowych. Jeśli zdecydujesz się powierzyć audyt RODO naszej Kancelarii, prawnik przeprowadzając audyt przede wszystkim dokładnie zweryfikuje i ustali kluczowe kwestie takie jak:

  • czynności, które wiążą się w Twojej firmie ze zbieraniem i przetwarzaniem danych osobowych jak np. zatrudnianie pracowników, współpracowników (na podstawie umów cywilnoprawnych), zawieranie różnego rodzaju umów z klientami, kontrahentami, zbieranie danych w ramach prowadzenia różnego rodzaju programów lojalnościowych czy udzielanie świadczeń zdrowotnych przez podmioty medyczne itp.;
  • określi jakie dane osobowe są zbierane, ustali czy są to tylko dane zwykłe czy również i dane wrażliwe wymagające szczególnej ochrony jak np. dane dotyczące zdrowia, orientacji seksualnej, dane biometryczne itp.;
  • ustali czy dane osobowe są zbierane tylko w niezbędnym zakresie i nie są pozyskiwane w szerszym zakresie niż jest to konieczne tzw. dane nadmiarowe;
  • ustali na jakiej podstawie prawnej firma przetwarza dane osobowe;
  • zweryfikuje czy wobec osób, których dane osobowe są przetwarzane spełniano obowiązek informacyjny, w jakiej formie, czy firma posiada wzory takich klauzul informacyjnych, czy odpowiadają one wymogom RODO (w szczególności art. 13 i 14 RODO);
  • sprawdzi jakich środków bezpieczeństwa dotychczas zastosowano dla ochrony danych osobowych np. przechowywanie dokumentacji papierowej w szafach zamykanych na klucz, alarm dla ochrony w budynku, odpowiednie programy antywirusowe dla danych przetwarzanych w postaci elektronicznej itp.;
  • zweryfikuje czy wprowadzono polityki i procedury określające zasady ochrony danych osobowych przetwarzanych w firmie jak np. politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym czy pracownicy posiadają odpowiednie upoważnienia do przetwarzania danych itp.;
  • zapyta w przeszłości zdarzały się incydenty i naruszenia ochrony danych osobowych;
  • ustali ewentualne zagrożenia dla przetwarzanych w firmie danych np. pożar, zalanie, atak hakerski itp.;
  • przeprowadzi analizę w zakresie konieczności powołania Inspektora Ochrony Danych;
  • przeprowadzi analizę w zakresie konieczności prowadzenia rejestru czynności przetwarzania

Zakończenie audytu, a raport

Audyt RODO powinien zakończyć się sporządzeniem raportu z przeprowadzonego audytu, w którym znajdzie się pełna analiza zebranych w toku prowadzenia audytu informacji oraz wyniki audytu. W raporcie powinny znaleźć się również dalsze zalecenia i rekomendacje wdrożeniowe dla firmy w celu zapewnienia bezpieczeństwa i pełnej ochrony przetwarzanych przez nią danych osobowych oraz zgodności z wymogami RODO. Pomimo, iż przepisy RODO nie nakładają na administratorów wprost obowiązku posiadania pisemnego raportu, to jednak z uwagi na zasadę rozliczalności i możliwe kontrole ze strony Urzędu Ochrony Danych Osobowych, pożądana jest forma pisemna raportu.   

Każda firma jako administrator danych osobowych może przeprowadzić audyt samodzielnie lub może zlecić jego wykonanie wyspecjalizowanej w zakresie ochrony danych osobowych firmie czy kancelarii. W przypadku gdy zdecydujesz się powierzyć nam audyt RODO w Twojej firmie, nasza Kancelaria RODO i nasz prawnik po przeprowadzonym audycie sporządzą dla Ciebie pisemny raport, zawierający szczegółową analizę procesów przetwarzania danych osobowych w Twojej firmie pod kątem zgodności z RODO oraz zalecenia i rekomendacje do wdrożenia aby ochrona danych osobowych w Twojej firmie była w pełni zgodna z wymogami RODO.  

Jeśli chcesz dostosować swoją działalność do wymogów RODO, zlecić audyt RODO lub wdrożyć RODO od podstaw w firmie, zapraszamy do kontaktu z Naszą Kancelarią Jedliński, Bierecki i Wspólnicy.

Kinga Strychalska - Radca Prawny

Kinga Strychalska

Radca prawny

Photo by Campaign Creators on Unsplash