Prowadzenie własnej firmy wymaga znajomości wielu przepisów prawnych, w tym także tych w zakresie ochrony danych osobowych.
Czy właściciel przedsiębiorstwa musi orientować się w podstawach tych regulacji prawnych? Oczywiście!
Czy musi zajmować się wszystkim na własną rękę? Niekoniecznie!
Aby mieć pewność, że firma działa zgodnie z przepisami o ochronie danych osobowych, warto zlecić przeprowadzenie audytu specjalistom.
Jak przebiega audyt zgodności z RODO?
Przeprowadzenie audytu pozwala przyjrzeć się różnym aspektom działalności firmy pod kątem tego, w jaki sposób przetwarzane są dane osobowe: pracowników, klientów, użytkowników produktu czy usługi. Specjaliści, którym zleca się przeprowadzenie audytu zgodności z RODO, sprawdzają, czy firma przetwarza dane osobowe zgodnie z obowiązującym od 25 maja 2018 roku Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO.
Podczas audytu analizowane są między innymi następujące informacje:
Jakie dane osobowe przetwarza firma?
W tym celu audytorzy uzyskują odpowiedzi w szczególności na następujące pytania:
- Czy firma zatrudnia pracowników?
- Czy firma współpracuje z innymi osobami na podstawie umów cywilnoprawnych?
- Czy w firmie prowadzone są rekrutacje kandydatów do pracy?
- Czy w firmie przetwarzane są dane osobowe klientów, dostawców, kontrahentów?
- Czy w działaniach marketingowych wykorzystuje się newslettery?
- Czy na stronie internetowej firmy są wykorzystywane pliki cookies?
- Czy poprzez formularze na stronie internetowej zbierane są dane osobowe?
- Czy dane osobowe przetwarza się na fanpage’ach firmowych lub w innych miejscach w portalach społecznościowych?
- Czy w siedzibie firmy jest wykorzystywany monitoring? Czy obraz z monitoringu jest zapisywany?
- Czy dane są pozyskiwane i przetwarzane w inny sposób, na przykład podczas rejestrowania wejść i wyjść?
W jaki sposób przetwarzane są dane osobowe?
Tu audytorzy potrzebują przede wszystkim informacji, czy zbierane dane są przetwarzane w sposób zautomatyzowany, czy jest z tym związane zautomatyzowane podejmowanie decyzji, czy danych używa się do profilowania i czy przekazuje się je poza obszar Europejskiej Wspólnoty Gospodarczej. Uzyskanie odpowiedzi na te pytania pozwala ustalić obowiązki firmy jako administratora danych osobowych.
Czy dane osobowe są przekazywane innym podmiotom?
Istotne jest zidentyfikowanie, czy firma przekazuje zgromadzone dane osobowe na zewnątrz, czy powierza dane osobowe do przetwarzania. W uproszczeniu, jeśli firma zleca wykonywanie niektórych zadań zewnętrznym firmom usługowym i podwykonawczym i wiąże się z tym przekazywanie danych osobowych, to sama jest administratorem tych danych, a podmiot zewnętrzny – podmiotem przetwarzającym (procesorem). Należy mieć na uwadze, że: „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. (…)” (zgodnie z art. 28 ust. 3 RODO), a jednocześnie taka umowa lub inny instrument prawny wymaga uwzględnienia elementów, o których mowa w art. 28 ust. 3 lit. a-h RODO.
Kto i w jakim zakresie jest upoważniony do przetwarzania danych osobowych?
W ramach audytu zgodności z RODO sprawdza się, w jaki sposób dane osobowe są wykorzystywane wewnątrz firmy. Jeśli pracownicy korzystają z tych danych, muszą posiadać stosowne upoważnienie do ich przetwarzania, zobowiązuje się ich także do zachowania danych osobowych w poufności. Audytorzy mogą sprawdzić, czy wszyscy pracownicy mają upoważnienia w odpowiednim zakresie w stosunku do powierzonych zadań.
Czy w firmie powinno się powołać Inspektora Ochrony Danych?
Audyt zgodności z RODO może dać odpowiedź na to pytanie. Inspektora Ochrony Danych powołuje się obowiązkowo w kilku przypadkach, między innymi wówczas, gdy „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę” (art. 37 ust. 1 lit. b RODO) lub gdy „główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10” (art. 37 ust. 1 lit. c RODO).
Kto może przeprowadzić audyt zgodności z RODO?
Audyt może przeprowadzić sam przedsiębiorca, jednakże w praktyce najczęściej powierza się to zadanie wyspecjalizowanym firmom. Tacy audytorzy są na bieżąco z przepisami dotyczącymi ochrony danych osobowych, wiedzą, na jakie aspekty działalności firmy zwrócić uwagę i mogą zarekomendować niezbędne zmiany, które usprawnią działania firmy w zakresie administrowania i przetwarzania danych osobowych.
Zapraszamy do kontaktu!