Prowadzenie własnej firmy wymaga znajomości wielu przepisów prawnych, w tym także tych w zakresie ochrony danych osobowych. Czy właściciel przedsiębiorstwa musi orientować się w podstawach tych regulacji prawnych? Oczywiście! Czy musi zajmować się wszystkim na własną rękę? Niekoniecznie! Aby mieć pewność, że firma działa zgodnie z przepisami o ochronie danych osobowych, warto zlecić przeprowadzenie audytu specjalistom.
Jak przebiega audyt zgodności z RODO?
Przeprowadzenie audytu pozwala przyjrzeć się różnym aspektom działalności firmy pod kątem tego, w jaki sposób przetwarzane są dane osobowe: pracowników, klientów, podwykonawców, użytkowników produktu czy usługi. Specjaliści, którym zleca się przeprowadzenie audytu zgodności z RODO, sprawdzają, czy firma przetwarza dane osobowe zgodnie z obowiązującym od 25 maja 2018 roku Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO.
Prawidłowo przeprowadzony audyt bada każdy obszar działalności, a zadaniem audytorów jest zidentyfikowanie wszystkich występujących procesów przetwarzania. W tym zakresie identyfikuje się zbiory danych, oraz osoby odpowiedzialne za poszczególne zasoby tak, aby wyeliminować lub zminimalizować ryzyka. Zarządzanie ryzykiem to hasło klucz dla RODO.
Prawidłowa identyfikacja procesów przetwarzania pozwala określić rolę firmy w takich procesach. Od tego jak wygląda dany proces, jak sformułowana jest umowa o współpracy, jakie dane osobowe niezbędne są do jej wykonania, czy jesteśmy Administratorem Danych Osobowych (ADO), Podmiotem Przetwarzającym (Procesorem) lub Współadministratorem, zależy dalsze postępowanie z danymi oraz wypełnienie choćby obowiązku wobec osób, których dane dotyczą.
Podczas audytu analizowane są między innymi następujące informacje:
Jakie dane osobowe przetwarza firma?
W tym celu audytorzy rozpoczną od zadania serii pytań, dotykających wielu obszarów, np.:
- Czy firma zatrudnia pracowników?
- Czy firma współpracuje z innymi osobami na podstawie umów cywilnoprawnych?
- Czy w firmie prowadzone są rekrutacje kandydatów do pracy?
- W jaki sposób w firmie przetwarzane są dane osobowe klientów, dostawców, kontrahentów?
- Czy w działaniach marketingowych wykorzystuje się newslettery?
- Czy na stronie internetowej firmy są wykorzystywane pliki cookies?
- Czy dane osobowe przetwarza się na fanpage’ach firmowych lub w innych miejscach w portalach społecznościowych?
- Czy w siedzibie firmy jest wykorzystywany monitoring? Czy obraz z monitoringu jest zapisywany?
- Czy dane są pozyskiwane i przetwarzane w inny sposób, na przykład podczas rejestrowania wejść i wyjść?
W jaki sposób przetwarzane są dane osobowe?
Tu audytorzy potrzebują przede wszystkim informacji, czy zbierane dane są przetwarzane w sposób zautomatyzowany, czy jest z tym związane zautomatyzowane podejmowanie decyzji, czy danych używa się do profilowania i czy przekazuje się je poza obszar Europejskiej Wspólnoty Gospodarczej. Uzyskanie odpowiedzi na te pytania pozwala ustalić obowiązki firmy jako administratora danych osobowych.
Czy dane osobowe są przekazywane innym podmiotom?
Istotne jest zidentyfikowanie, czy firma przekazuje zgromadzone dane osobowe innym podmiotom czy powierza dane osobowe do przetwarzania. W uproszczeniu, jeśli firma zleca wykonywanie niektórych zadań zewnętrznym firmom usługowym i podwykonawczym i wiąże się z tym przekazywanie danych osobowych, to sama jest administratorem tych danych, a podmiot zewnętrzny – podmiotem przetwarzającym (procesorem). Należy mieć na uwadze, że: „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. (…)” (zgodnie z art. 28 ust. 3 RODO), a jednocześnie taka umowa lub inny instrument prawny wymaga uwzględnienia elementów, o których mowa w art. 28 ust. 3 lit. a-h RODO.
Kto i w jakim zakresie jest upoważniony do przetwarzania danych osobowych?
W ramach audytu zgodności z RODO sprawdza się, w jaki sposób dane osobowe są wykorzystywane wewnątrz firmy. Jeśli pracownicy korzystają z tych danych, muszą posiadać stosowne upoważnienie do ich przetwarzania, zobowiązuje się ich także do zachowania danych osobowych w poufności. Audytorzy mogą sprawdzić, czy wszyscy pracownicy mają upoważnienia w odpowiednim zakresie w stosunku do powierzonych zadań.
Czy w firmie powinno się powołać Inspektora Ochrony Danych?
Audyt zgodności z RODO może dać odpowiedź na to pytanie. Inspektora Ochrony Danych powołuje się obowiązkowo w kilku przypadkach, między innymi wówczas, gdy „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę” (art. 37 ust. 1 lit. b RODO) lub gdy „główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10” (art. 37 ust. 1 lit. c RODO).
Kto może przeprowadzić audyt zgodności z RODO?
Audyt może przeprowadzić sam przedsiębiorca, jednakże w praktyce najczęściej powierza się to zadanie wyspecjalizowanym firmom. Tacy audytorzy są na bieżąco z przepisami dotyczącymi ochrony danych osobowych, wiedzą, na jakie aspekty działalności firmy zwrócić uwagę i mogą zarekomendować niezbędne zmiany, które usprawnią działania firmy w zakresie administrowania i przetwarzania danych osobowych.
Zachęcamy do konsultacji z naszymi doświadczonymi specjalistami, którzy zaproponują najkorzystniejsze rozwiązanie dla bezpieczeństwa Państwa danych oraz zabezpieczenia procesów przetwarzania. Już dziś zapraszamy do kontaktu.