Aby odpowiednio wdrożyć przepisy RODO w danym przedsiębiorstwie niezbędne jest podjęcie uprzednich działań o charakterze przygotowawczym. Takie działania najczęściej przyjmują postać sprawdzenia zgodności.
Pomimo dość częstych wątpliwości, z jakimi spotykamy się wśród korzystających z naszych usług firm, audyt wydaje się być niezbędnym etapem całego wdrożenia RODO. Między innymi jego celem jest określenie, w jakich czynnościach są w ogóle przetwarzane dane osobowe. Pozwala także „zlokalizować”, gdzie pojawiają się niezgodności z przepisami prawa, które następnie należy zniwelować. Audyt pozwala wobec tego określić priorytety oraz niejako obrać strategię późniejszego działania, stanowi punkt wyjścia dla wdrożenia. Ten etap przyspiesza i zdecydowanie ułatwia działania osobom wdrażającym przepisy Rozporządzenia.
Przeprowadzenie sprawdzenia jest jednym z zadań Inspektora Ochrony Danych (niezależnie od tego czy w organizacji powołana została do tej funkcji osoba z wewnątrz czy też z zewnątrz). Art. 39 ust. 1 lit. b wskazuje: „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty”.
Audyt i jego etapy
Jak wskazano wyżej audyt ma być swego rodzaju podstawą dla późniejszego wdrożenia RODO. Jego celem jest pozyskanie wszelkich informacji, które będą pomocne w dostosowaniu np. organizacyjno-technicznym do treści obowiązków, wynikających z Rozporządzenia. Cała procedura audytowa będzie składała się z 4 etapów:
- Zbieranie informacji
- Inwentaryzacja informacji
- Analizowanie informacji i ocena procesów
- Opracowanie planów i rekomendacji wdrożeniowych (raport)
To, w jaki sposób i w oparciu o jakie metody zostanie przeprowadzony audyt zależeć będzie między innymi od rodzaju i wielkości danej organizacji.
Plan audytowy
Zanim przystąpi się do przeprowadzenia sprawdzenia i zbierania informacji warto stworzyć jego plan. Pozwoli on na przeprowadzenie procesu w sposób zorganizowany, a także ułatwi późniejsze sporządzenie raportu.
Plan audytowy powinien być tworzony dla okresu od ¼ roku do 1 roku (w zależności od rodzaju i organizacji). Plan ten zawiera informację o:
- tym w jakim terminie będziemy dokonywać określonego sprawdzenia;
- przedmiocie sprawdzenia;
- zakresie sprawdzenia.
Przedmiot planu określa, jakich zbiorów bądź systemów informatycznych będzie dotyczyło dane sprawdzenie. Mogą być to na przykład zbiory danych kadrowych (dane kandydatów do pracy lub pracowników) czy zbiory danych marketingowych (newsletter, konkursy). Można także określić przykładowo, że sprawdzany w danym terminie dany system informatyczny bądź tylko jeden z jego modułów (SAP / moduł do obsługi HR). Innym modelem określenia przedmiotu jest podział funkcjonalny (przedmiotem ustanawiamy cały dział danego przedsiębiorstwa, np. dział kadr czy marketingu) i sprawdzenia dokonujemy w jego obszarze.
Zakresem sprawdzenia możemy określić kryterium, w oparciu o które dane zbiory będą przez nas sprawdzane. Na przykład: w odniesieniu do zasad, wynikających z RODO (legalności, przejrzystości, minimalizacji danych itp.), spełniania obowiązków informacyjnych, prowadzenia ewidencji upoważnień itp.
Plan audytowy przedstawiamy administratorowi na minimum 14 dni przed terminem rozpoczęcia konkretnego sprawdzenia.
Zbieranie informacji – pierwsza faza sprawdzenia
Jak sama nazwa wskazuje w tej fazie należy zebrać wszelkie informacje na temat procesów występujących w danej organizacji. W praktyce często zdarza się – i jest to rozwiązanie rekomendowane – że audyt poprzedzany jest spotkaniem, na którym audytor zapoznaje pracowników z założeniami sprawdzenia oraz przedstawia im swoje oczekiwania, związane z jego dokonaniem.
Samo zbieranie informacji można wykonywać różnie. Często metoda ich wykonywania zależy w głównej mierze od wielkości organizacji. W małych organizacjach rekomenduje się zbieranie informacji bezpośrednio od pracowników, a więc przeprowadzając z nimi spotkania. W przypadku większych organizacji można bazować na metodzie, w myśl której najpierw wysyłamy do wszystkich pracowników wstępne ankiety, z których dowiadujemy się kto w rzeczywistości dokonuje na codzień czynności przetwarzania danych i ma największa wiedzę o procesach przetwarzania w przedsiębiorstwie. Dopiero w następnym etapie z odpowiednimi pracownikami przeprowadzamy spotkania bezpośrednie.
Faza zbierania informacji nie opiera się jedynie na bazowaniu na przedstawionych nam przez pracowników informacjach. Inspektor Ochrony Danych powinien także sam dokonywać oględzin miejsc, zbierać „dowody audytowe”. W ramach tego uprawnienia IOD może dokonywać szeregu czynności w firmie, np.:
- Uzyskiwać dostęp do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych
- Mieć wgląd do dokumentów związanych z przetwarzaniem danych osobowych
- Odbierać ustne oraz pisemne wyjaśnienia od pracowników
- Sprawdzać przestrzeganie procedur przez personel metodą tajemniczego klienta
- Weryfikować poprawność dokumentacji w zakresie:
- opracowania i kompletności dokumentacji przetwarzania danych;
- zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
- stanu faktycznego w zakresie przetwarzania danych osobowych;
- przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.
Podczas dokonywania powyższych czynności w zakresie niezbędnym do oceny zgodności przetwarzania z przepisami dotyczącymi ochrony danych osobowych rekomenduje się Inspektorom Ochrony Danych dokumentowania ich, np. w formie notatek. Z pewnością ułatwi to późniejsze sporządzenie raportu, w którym przecież będziemy musieli opisać stan faktyczny, jaki zastaliśmy.
Co więcej, chcąc uwiecznić stan faktyczny możemy sporządzić kopię:
- dokumentu, przekazanego przez pracownika
- obrazu, który został wyświetlony na ekranie
- zapisów rejestrów systemu informatycznego czy zapisów konfiguracji technicznych środków zabezpieczeń technicznych środków zabezpieczeń tego system
Inwentaryzacja informacji
Po uzyskaniu wszelkich informacji sposobami wskazanymi powyżej należy dokonać tzw. inwentaryzacji procesów/czynności. Czynności czy też procesy powinny być identyfikowane jako zespół działań nakierowanych na realizację poszczególnych celów biznesowych w których przetwarza się dane osobowe. Ponownie rozmiar organizacji może mieć przełożenie na to, jak bardzo szczegółowa będzie dana inwentaryzacja. W małych przedsiębiorstwach poszczególne czynności można wyodrębnić poprzez pryzmat celu przetwarzania (np. rekrutacja, zatrudnienie, marketing). W większych natomiast, jako że zachodzi tam dużo więcej procesów, można podzielić je bardziej szczegółowo, np.:
- Marketing (cel):
- konkursy na Facebooku (czynność),
- newsletter (czynność),
- pozyskanie danych przez Landing Page (czynność)
- Wykonanie usługi (cel):
- zawarcie umowy z klientem (czynność),
- wykonanie usługi/obsługa klienta (czynność),
- wystawienie faktury (czynność)
Po wyodrębnieniu w ten sposób czynności przetwarzania należy ustalić, jakie aktywa biorą udział w przetwarzaniu danych osobowych w przypadku każdej z czynności. Aktywami mogą być: dokumenty (również jako kartki papieru), pendrive-y, dysk twarde, macierze dyskowe, serwery w chmurze. Takie wyodrębnienie umożliwi nam później dobranie odpowiednich zabezpieczeń do każdego z aktywów.
Po wyodrębnieniu aktywów należy ustalić jaki zakres danych na tych aktywach się znajduje (dodatkowo warto rozróżnić tu dane zwykłe i dane wrażliwe). Pamiętajmy, że jest to wciąż faza inwentaryzacji. Wobec tego ograniczamy się tutaj jedynie do naznaczenia stanu faktycznego. W tej fazie nie dokonujemy jeszcze oceny, czy dane są zbierane prawidłowo, w odpowiednim zakresie itp.
Do każdego z aktywów powinniśmy ustalić również obecne jego zabezpieczenia. Przykładowo dla pendrive może to być ich szyfrowanie, a dla dokumentów papierowych chowanie ich w zamykanej szafce.
Na etapie inwentaryzacji należy też ustalić, jakim podmiotom dane są przekazywane, w jakim zakresie oraz w jakim celu.
Analizowanie informacji i ocen procesów
Kolejnym etapem sprawdzenia jest analiza zebranych i zinwentaryzowanych już informacji i ocena wszelkich procesów, zachodzących w organizacji.
Procesy i informacje badamy na podstawie zasad ochrony danych osobowych.
Po pierwsze zwracamy uwagę na to, czy administrator przetwarza dane osobowe legalnie. W tym zakresie sprawdzamy czy posiada ważne podstawy prawne do przetwarzania danych osobowych w czynnościach przetwarzania, np. zgody osób. Ponadto należy stwierdzić, czy przetwarzanie nie odbywa się w innych celach, niż te dla których dane zostały zebrane.
Na tym etapie badamy również czy administrator zapewnia przejrzystość przetwarzania. Można to ustalić poprzez sprawdzenie czy w sytuacjach zbierania bądź rozpoczęcia przetwarzania w innych celach niż pierwotne są spełniane odpowiednio obowiązki informacyjne wobec podmiotów danych.
Należy też zwrócić uwagę na ograniczenie czasu przetwarzania, czyli na to czy dane nie są przetwarzane zbyt długo, np. po wycofaniu zgody.
Kolejną sprawą jest zbadanie zakresu danych, jakie są przetwarzane. W tym wypadku oceniamy czy dane są niezbędne do realizacji celów. W przypadku ustalenia przez nas, że pewnej informacji nie musimy zbierać, aby zrealizować cel powinniśmy wówczas oznaczyć je jako zbędne dla realizacji celu. W późniejszych etapach wdrożeniowych powinniśmy także zrezygnować z ich zbierania, a także usunąć je z posiadanych przez nas aktywów.
Bardzo ważna jest również ocena tego, czy organizacja ma procedurę realizacji praw osób, których dane dotyczą oraz ewentualnie czy taka realizacja odbywa się w sposób prawidłowy. W tym celu należy też ustalić czy systemy informatyczne posiadają odpowiednie funkcjonalności, które pozwalają na wypełnienie tych obowiązków.
Następnie badamy proces, okoliczności i legalność przekazywania danych osobowych innym podmiotom. W tym zakresie ustalamy:
- W przypadku udostępnienia – czy posiadamy ku temu odpowiednią podstawę prawną. Oceniamy ją w oparciu o przesłanki określone w 6 i art. 9 RODO.
- W przypadku powierzenia – czy są zawarte umowy powierzenia z podmiotami, które przetwarzają dane osobowe na nasze polecenie i w naszym celu.
Ostatnim elementem tego etapu jest ocena czy zebrana dokumentacja jest zgodna ze stanem faktycznym, występującym w organizacji, a następnie – czy jest merytorycznie poprawna w stosunku do przepisów, dotyczących ochrony danych osobowych. Wobec tego przy weryfikacji dokumentacji należy sprawdzić:
- Jej kompletność
- Zgodność z obowiązującymi przepisami
- Zgodność ze stanem faktycznym
- Zgodność przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych
Ponadto zbadać należy, czy zasady, obowiązki i procedury wynikające z wewnętrznie obowiązujących dokumentów są przez pracowników przestrzegane.
Opracowanie planów i rekomendacji wdrożeniowych (raport)
Końcowym etapem przeprowadzania sprawdzenia jest opracowanie planów i rekomendacji wdrożeniowych. Oczywiście faza ta jest wynikiem wszystkich poprzednich i należy uwzględnić w niej to, co zostało uprzednio ustalone. Materialnym efektem sprawdzenia powinien być raport bądź notatka zawierająca wypisane procesy, które powinny podlegać zmianie z powodu niezgodności z przepisami. Oprócz wskazania nieprawidłowości IOD powinien zawrzeć w raporcie plan wdrożeniowy. Mianowicie do każdej wskazanej niezgodności przypisujemy rekomendację, czyli co należy zrobić, aby stan niezgodności usunąć. Poza tym możemy wskazać kto powinien być odpowiedzialny za zmianę, kiedy i o jakim priorytecie jest dana czynność.
Podsumowanie
Przed podjęciem czynności wdrożeniowych powinno się dokonać sprawdzenia w organizacji. Jak widać z treści powyżej umożliwia on usystematyzowanie wszelkich informacji, wyodrębnienie znaczących z perspektywy ochrony danych osobowych procesów. Wynikiem inwentaryzacji jest Rejestr Czynności Przetwarzania, który znacznie ułatwia nam późniejsze dokonanie wdrożenia, np. stworzenie klauzuli obowiązku informacyjnego czy umów powierzenia.
Inspektor Ochrony Danych, przed przystąpieniem do sprawdzenia musi pamiętać o zawiadomieniu odpowiednich osób o terminach i zakresach jego przeprowadzenia.
Posiadając już raport bądź notatkę z danego sprawdzenia możemy na tej podstawie przejść do faktycznego wdrożenia RODO.
Post Prowadzenie sprawdzenia przez IOD pojawił się poraz pierwszy w Skuteczny IOD. Blog o byciu skutecznym IOD.
Dodaj komentarz