Jak przeprowadzić audyt RODO?

Chcąc wdrożyć sprawnie i dobrze RODO w swojej firmie, musimy na początku odpowiednio przygotować się do tego. Formą takiego przygotowania powinien być audyt zgodność z RODO.

Wiele firm na początku naszej współpracy zadaje pytanie o sensowność przeprowadzenia audytu przed wdrożeniem RODO. Jest co najmniej kilka powodów, które przemawiają za jego wykonaniem. Po pierwsze audyt ma na celu określenie czynności w jakich przetwarzamy dane osobowe oraz ich specyfikacji. Po drugie ustalenie niezgodności w naszej organizacji, które powinny zostać zniwelowane w następnych etapach. Z własnego doświadczenia wiemy, że w firmach audyt pozwala przyśpieszyć późniejsze prace wdrożeniowe. To na jego podstawie możemy także ustalić priorytet, a także pracochłonność danych etapów. Audyt pozwala nam zgromadzić wszelkie niezbędne informacje w jednym momencie, co znaczenie wpływa na jakość tych informacji, a także prace osób wdrażających. Osobiście polecam wszystkim przeprowadzenie audytu.

reklama

Jak przeprowadzić audyt?

To w jaki sposób będziemy przeprowadzali audyt zależeć będzie w głównej mierze od tego jak wielka i złożona jest organizacja. Wiele etapów podczas audytu przeplata się między sobą, jednak można wydzielić trzy główne fazy:

  • faza zbierania informacji,
  • faza analizowania i inwentaryzowania informacji,
  • fazę opracowywania planów i rekomendacji wdrożeniowych.

W pierwszej z faz, jak sama nazwa wskazuje będziemy zbierać informacje na temat organizacji i funkcjonującej w niej procesów. Często zdarza się tak, że audyt poprzedzony jest na początku spotkaniem go otwierającym. Na spotkaniu tym osoby z grupy wdrożeniowej, zapoznają resztę pracowników z podstawami związanymi z ochrona danych osobowych. Na nim także wskazuje się w jaki sposób będzie przeprowadzany audyt oraz podkreśla się jakie są oczekiwania w stosunku do pracowników z tym związane.

W zależności od wielkości organizacji ten etap może być różnie realizowany. W przypadku większych organizacji zbieranie informacji może być dokonane poprzez ankiety przesyłane do pracowników, a także późniejsze spotkania. Mniejsze organizacje mogą zebrać niezbędne informacje tylko podczas samych spotkań. Osobami audytowanymi powinny być osoby ze wszystkich działów. Wybieranie osób tylko z działów związanych z przetwarzaniem danych znacznie zawęża pogląd na przetwarzanie danych w danej organizacji, a także może skutkować przeoczeniem uchybień w działach nie objętych audytem. Wymieniając działy, które powinny brać udział w audycie to w szczególności działy kadr (HR), sprzedaży i marketingu, finansów/księgowości, a także działów operacyjnych.

Po zebraniu niezbędnych informacji od osób audytowanych, powinniśmy je zinwentaryzować oraz ocenić, a także przygotować raport wdrożeniowy. Taki raport powinien być przygotowany zawsze, jeżeli korzystamy z usług zewnętrznej firmy. Powinien być także przygotowany przez większe organizacje oraz firmy w których funkcjonuje na stałe Inspektor Ochrona Danych. Raport wdrożeniowy powinien posiadać w sobie wskazanie uchybień, a także propozycje ich niwelacji. Ważne jest również wstępne określenie priorytetu danych działań. Mniejsze organizacje nie muszą przygotowywać szczegółowego raportu, ale powinny przygotować plan wdrożeniowy z podziałem na zadania oraz ich priorytet, a także osoby za nie odpowiedzialne.

Jak przeprowadzić inwentaryzacje danych?

W ramach audytu niezbędne jest przeprowadzenie inwentaryzacji procesów (czynności) w których przetwarzane są dane osobowe. Czynności czy też procesy powinny być identyfikowane jako zespół działań nakierowanych na realizację poszczególnych celów biznesowych w których przetwarza się dane osobowe. Szczegółowość identyfikacji czynności przetwarzania danych osobowych zależny jest od rozmiaru oraz sposobów przetwarzania danych w organizacji. Mniejsze firmy mogą spokojnie wyodrębniać procesy poprzez pryzmat celu w jakim przetwarzają dane osobowe.  Można to powiązać z istniejącym pod reżimem starej ustawy odo (z 1997 r.) obowiązkiem identyfikacji zbiorów danych osobowych celem ich późniejszej rejestracji. Przykładami takiego podziału mogą być następujące czynności: rekrutacja, zatrudnienie, księgowość, marketing, sprzedaż.  W większych organizacjach w których powyższe cele realizowane są przez całe działy można je podzielić na większą liczbę podprocesów. Przykładami takiej inwentaryzacji może być podział powyższych procesów w następujący sposób:

  • Marketing (cel): konkursy na Facebooku (czynność),  newsletter (czynność), pozyskanie danych przez Landing Page (czynność).
  • Sprzedaż (cel): zawarcie umowy z klientem (czynność), wykonanie usługi/obsługa klienta (czynność), wystawienie faktury (czynność).

Gdzie są dane?

Po ustaleniu jakie czynności występują w naszej organizacji powinniśmy przejść do ustalenia: gdzie dokładnie w ramach tych czynności znajdują się dane osobowe. W tym zakresie powinniśmy wyodrębnić i przyporządkować do każdej z czynności aktywa. Aktywami nazywamy wszystko to, co służy do fizycznej reprezentacji danych osobowych np. systemy informatyczne, dokumenty (również jako kartki papieru), pendrive-y, dysk twarde, macierze dyskowe, serwery w chmurze i inne nośniki na których utrwaliliśmy dane osobowe. Dzięki temu uda nam się później dobrać do nich odpowiednie zabezpieczenia.

Zakresy i retencja

Posiadając już wiedzę na temat tego jakie aktywa są przez nas wykorzystywane do przetwarzania danych osobowych możemy na ich podstawie ustalić zakresy danych osobowych, które się w nich się znajdują.  Zebranie tych danych ma charakter tylko i wyłącznie inwentaryzacji. Na tym etapie nie oceniony czy dane informacje są nam niezbędne czy też nie. Oprócz tego powinniśmy również skategoryzować posiadane przez nas informacje na dane zwykłe i na dane wrażliwe (szczególnej kategorii- art. 9 RODO).

„Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.”

Podział ten będzie miał znaczenie przy stosowanie innych podstaw prawnych w stosunku do tej drugiej kategorii danych osobowych, a także będzie miał wpływ na ocenę ryzyka oraz dobieranie związku z nim odpowiednich zabezpieczeń.

Oprócz tego powinniśmy również ocenić jak długo przetwarzane są przez nas dane osobowe, czyli określić ich obecną retencje.

Obecne zabezpieczenia

Do każdego z aktywów powinniśmy dopasować również obecne jego zabezpieczenia.  Przykładowo dla pendrive może być to ich szyfrowanie, a dla dokumentów papierowych chowanie ich w zamykanej szafce. Stacje robocze mogą być zabezpieczone poprzez program antywirusowy, a także może być zablokowana możliwość podpięcia nośników USB.

Komu przekazywane

Na tym etapie również powinniśmy ustalić komu przekazujemy dane osobowe. Oprócz ustalenia samych podmiotów lub tych kategorii podmiotów, powinniśmy ocenić w jakim celu przekazywane są im te dane osobowe.

Rejestr czynności

Zebrane informacje powinny zostać umieszczone we wstępnym rejestrze czynności przetwarzania danych osobowych w formie matrycy czynności przetwarzania danych osobowych.

reklama

Efekt- ocena zgodności

Po ustaleniu stanu faktycznego możemy przejść do oceny czy czynności przetwarzania są zgodne z RODO. Ocenę zgodności możemy podzielić na dwa główne obszary. Pierwszym z obszarów jest badanie wymogów formalno-prawnych. Drugim natomiast badanie zgodności systemów informatycznych. W związku z tym, że 99% organizacji nie zarządzało ryzykiem bezpieczeństwa danych osobowych w samym audycie nie ma też miejsca ocenę ryzyka. Jeżeli firma nie dokonywała oceny ryzyka i nie posiada metodologii, podczas audytu nie może być ona weryfikowana. W tym zakresie powinno się jednak wskazać jej brak oraz po przeprowadzeniu audytu niezwłocznie ją dokonać. Podczas samego audytu możemy jednak wskazać oczywiste naruszenia bezpieczeństwa informacji np. stosowanie wszędzie tego samego hasła lub brak nadzoru nad dostępem osób postronnych do obszaru przetwarzania lub posiadanie dostępu do systemów, przez osoby, które już z nami nie współpracują.

W ramach badania formalno-prawnego będziemy oceniali następujące rzeczy:

Po pierwsze posiadanie przez nas ważnych podstaw prawnych do przetwarzania danych osobowych w czynnościach przetwarzania. W tym wypadku nasza ocena będzie opierała się o zgodność podstaw prawnych z art. 6 i art. 9 RODO. Oprócz tego powinniśmy zbadać czy dane przez nas nie są przetwarzane w innych celach, do których pierwotnie nie zostały zebrane.  Jeżeli ustalimy istnienie tych innych celów wówczas do każdego z tych nowych celów również musimy sprawdzić, czy posiadamy do tego przetwarzania podstawę prawną. Na tym etapie też powinniśmy ocenić czy odpowiednio zapewniamy przejrzystość przetwarzania przez nas danych osobowych. Z ramach tego musimy sprawdzić czy w sytuacjach w których zbieramy dane lub też te dane zaczynają być przetwarzane w innych celach, czy w spełniamy odpowiednio obowiązki informacyjne w stosunku do osób, których dane dotyczą.

Po drugie ocenę przez nas zakresów danych. W tym wypadku oceniamy czy dane są niezbędne do realizacji celów w jakich je przetwarzamy. W przypadku ustalenia przez nas, że pewnej informacji nie musimy zbierać, aby zrealizować cel powinniśmy wówczas oznaczyć je jako zbędne dla realizacji celu. W późniejszych etapach wdrożeniowych powinniśmy także zrezygnować z ich zbierania, a także usunąć je z posiadanych przez nas aktywów.

Po trzecie oceny jak długo przetwarzamy te dane osobowe i czy jest to jeszcze czymś uzasadnione.

Po czwarte powinniśmy również ocenić czy wcześniej zidentyfikowany podmiotom przekazujemy dane osobowe zgodnie z RODO. W przypadku ustalenia, że podmioty te przetwarzają dane w swoich własnych celach wówczas musimy ustalić, czy posiadamy odpowiednią podstawę prawną do udostępnienia ich danych osobowych. Podstawę udostępniania oceniamy w oparciu o przesłanki określone w art. 6 i art. 9 RODO. W przypadku, gdy ustalimy, że przetwarzanie danych przez inne podmioty wykonywane jest tylko w naszym celu np. wykonania dla nas określonych usług wówczas powinniśmy wskazać taki podmiot jako podmiot przetwarzający (podmiot, któremu powierzono dane osobowe). Z podmiotami przetwarzającymi powinniśmy zawrzeć umowy powierzenia.

Po piąte powinniśmy na tym etapie ustalić również czy posiadana przez nas dokumentacja odzwierciedla stan faktyczny w naszej organizacji oraz umożliwia wykazanie przez nas zgodności z RODO.

Po szóste organizacja powinna ustalić czy systemy informatyczne umożliwiają realizację prawa osób, które dane dotyczą. Ustalenie, jakie funkcjonalności systemy muszą posiadać powinno być dokonane po ustaleniu podstaw prawnych w ramach czynności w ramach, których dokonuje się przetwarzania.

reklama

Podsumowanie

Pierwszym etapem wdrożenia RODO powinno być przeprowadzenie audytu zgodności z RODO. Audyt umożliwi zebranie odpowiednich informacji, które są niezbędne do późniejszego zarówno zaplanowania wdrażania jak i jego przeprowadzenia.  Podczas samego audytu powinniśmy brać pod uwagę zarówno kwestie zgodności prawnej jak i zgodności technologicznej.  W ramach audytu RODO przeprowadza się również inwentaryzację danych osobowych, na podstawie, której powstaje rejestr czynności przetwarzania danych osobowych.  Posiadanie takiego rejestru znacznie ułatwia późniejsze działania wdrożeniowe np. takie jak stworzenie klauzuli obowiązku informacyjnego, umów powierzenia czy też przeprowadzenia oceny ryzyka. Po zebraniu informacji niezbędne jest następnie ich usystematyzowanie i ocena,po której przyjść kolej na przygotowanie raportu lub\oraz planu wdrożenia.  Posiadając już plan lub raport możemy przejść do faktycznego wdrożenia RODO, w które powinniśmy rozpocząć od oceny ryzyka.

Jeżeli nie wiesz, jak się zabrać za audyt oraz chciałbyś, aby ten etap był dobrze i bezstronnie przeprowadzony warto rozważyć skorzystanie z usług audytu RODO wykonanego przez firmę zewnętrzną.

Newsletter

Administratorem podanych przez Pana/ Panią danych osobowych jest Data Legal Solutions z siedzibą w Warszawie (02-566), przy ul. Puławskiej 12/3. Dane będą przetwarzane w celu wysyłki newslettera oraz celu wysyłania przez administratora treści marketingowych administratora i podmiotów współpracujących na zasadach określonych w regulaminie portalu. Podanie adresu e-mail jest dobrowolne, lecz jego podanie jest niezbędne do zapisania się do newsletter. Udostępnienie adresu e-mail jest uznawane przez nas jako zamówienie informacji handlowej zgodnie z art. 10ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Więcej informacji na temat przetwarzania przez nas danych osobowych znajduje się w polityce prywatności.
Reklama