Audyt RODO

Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni w ramach usłu­gi — obsłu­ga praw­na firm — ofe­ru­je m.in. fir­mom z War­sza­wy i oko­lic sze­reg usług z zakre­su ochro­ny danych oso­bo­wych. Wśród sze­ro­kiej gamy naszej ofer­ty znaj­du­je się rów­nież moż­li­wość prze­pro­wa­dze­nia audy­tów pod wzglę­dem zgod­no­ści z RODO u przed­się­bior­ców, zarów­no spół­ek, jak i osób fizycz­nych pro­wa­dzą­cych dzia­łal­ność gospo­dar­czą. W ramach powyż­szych usług udzie­la­my wspar­cia w dosto­so­wa­niu doku­men­ta­cji do wyma­gań roz­po­rzą­dze­nia Par­la­men­tu Euro­pej­skie­go i Rady UE 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (dalej: „RODO”) oraz usta­wy o ochro­nie danych oso­bo­wych z dnia 10 maja 2018 r. Zle­ca­jąc czyn­no­ści Kan­ce­la­rii Praw­nej Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni otrzy­ma­ją Pań­stwo kom­plet doku­men­ta­cji wyma­ga­nej prze­pi­sa­mi RODO (np. rejestr czyn­no­ści prze­twa­rza­nia danych oso­bo­wych) oraz pro­ce­du­ry wprost nie­wy­ma­ga­ne przez RODO, ale zale­ca­ne przez pol­ski organ nad­zo­ru, takie jak pro­ce­du­ra zarzą­dza­nia sys­te­mem informatycznym.

Przetwarzanie danych osobowych zgodnie z RODO

Aby dobrze zro­zu­mieć, czym jest prze­twa­rza­nie danych oso­bo­wych, naj­pierw nale­ży zde­fi­nio­wać sobie czym jest w ogó­le dane oso­bo­we oraz jakie infor­ma­cje mogą za takie dane zostać uzna­ne. Zgod­nie z defi­ni­cją zawar­tą w RODO dany­mi oso­bo­wy­mi są takie infor­ma­cje o oso­bie fizycz­nej, któ­re słu­żą do jej ziden­ty­fi­ko­wa­nia lub umoż­li­wia­ją jej ziden­ty­fi­ko­wa­nie. Wśród przy­kła­do­we­go kata­lo­gu zawar­te­go w prze­pi­sach RODO unij­ny usta­wo­daw­ca wska­zu­je m. in. na imię i nazwi­sko danej oso­by, jej numer tele­fo­nu, jej adres e‑mail czy adres kore­spon­den­cyj­ny. Obo­wią­zu­ją­ce prze­pi­sy praw­ne wska­zu­ją na koniecz­ność ochro­ny danych, za pomo­cą któ­rych moż­na ziden­ty­fi­ko­wać dany podmiot.

Prze­twa­rza­nie danych oso­bo­wych RODO defi­niu­je nato­miast jako ope­ra­cję lub zestaw ope­ra­cji. Ope­ra­cje te muszą być wyko­ny­wa­ne na danych oso­bo­wych. Wśród przy­kła­do­we­go kata­lo­gu ope­ra­cji, jakie poda­ją prze­pi­sy RODO zna­la­zły się nastę­pu­ją­ce czynności:

1. zbie­ra­nie danych osobowych;
2. prze­cho­wy­wa­nie danych osobowych;
3. prze­glą­da­nie danych oso­bo­wych itp.

Kata­log zawar­ty w RODO jest otwar­ty, zatem rów­nież inne czyn­no­ści wyko­ny­wa­ne na danych oso­bo­wych mogą zostać uzna­ne za ich przetwarzanie.

Prawa i obowiązki wprowadzone przepisami RODO

Nale­ży mieć świa­do­mość, iż RODO jest roz­po­rzą­dze­niem Unii Euro­pej­skiej i jest sto­so­wa­ny bez­po­śred­nio we wszyst­kich pań­stwach człon­kow­skich UE. Regu­lu­je on swo­bo­dę prze­pły­wu danych oso­bo­wych, a w szcze­gól­no­ści ich ochronę.

Ana­li­zo­wa­ny akt praw­ny wpro­wa­dza nowe obo­wiąz­ki dla prze­twa­rza­ją­cych dane oso­bo­we a jed­no­cze­śnie pra­wa dla osób, któ­rych dane są prze­twa­rza­ne. Wśród obo­wiąz­ków wska­za­nych w RODO wpro­wa­dzo­no koniecz­ność pro­wa­dze­nia przez admi­ni­stra­to­rów danych oso­bo­wych oraz pro­ce­so­rów szcze­gó­ło­wej doku­men­ta­cji świad­czą­cej o zgod­no­ści prze­twa­rza­nia przez nich danych oso­bo­wych z obo­wią­zu­ją­cy­mi prze­pi­sa­mi praw­ny­mi, któ­rą to Kan­ce­la­ria spo­rzą­dza w ramach peł­ne­go audy­tu RODO.

Obowiązki administratorów danych osobowych i procesorów

W pierw­szej kolej­no­ści war­tym wyja­śnie­nia jest kto jest admi­ni­stra­to­rem danych oso­bo­wych. Prze­pi­sy RODO za admi­ni­stra­to­ra danych uzna­ją każ­dy pod­miot, któ­ry usta­la cele i spo­so­by prze­twa­rza­nia danych oso­bo­wych. Zabra­kło w nich jed­nak dopre­cy­zo­wa­nia czym jest „usta­la­nie celów”. Może to w prak­ty­ce stwa­rzać sze­reg pro­ble­mów inter­pre­ta­cyj­nych, zatem fero­wa­nie opi­nii w zakre­sie czy dany pod­miot posia­da przy­miot admi­ni­stra­to­ra danych oso­bo­wych win­no być doko­ny­wa­ne w opar­ciu o kon­kret­ne okoliczności.

Wśród sze­re­gu obo­wiąz­ków, jakie zosta­ły nało­żo­ne na admi­ni­stra­to­ra danych oso­bo­wych zna­lazł się obowiązek:

1. wdra­ża­nia środ­ków tech­nicz­nych i orga­ni­za­cyj­nych odpo­wied­nich dla prze­twa­rza­nia danych oso­bo­wych posia­da­nych przez pod­miot (np. na pod­sta­wie prze­pro­wa­dzo­ne­go uprzed­nio audytu;
2. wyzna­cze­nia inspek­to­ra ochro­ny danych osobowych;
3. pro­wa­dze­nia reje­stru czyn­no­ści prze­twa­rza­nia, gdy jest to wymagane;
4. prze­pro­wa­dze­nia ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych posia­da­nych przez administratora.

Zgod­nie z RODO pro­ce­so­rem czy­li pod­mio­tem prze­twa­rza­ją­cym jest każ­dy kto prze­twa­rza dane oso­bo­we w imie­niu admi­ni­stra­to­ra, a kto nie jest jego pra­cow­ni­kiem (np. usłu­gi out­so­ur­cin­gu). Wśród obo­wiąz­ków takie­go pod­mio­tu jest m. in. pro­wa­dze­nie reje­stru kate­go­rii czyn­no­ści przetwarzania.

Ocena skutków dla ochrony danych

Jak wska­za­no powy­żej na admi­ni­stra­to­rów danych oso­bo­wych został nało­żo­ny obo­wią­zek prze­pro­wa­dze­nia oce­ny ana­li­zy ryzy­ka naru­sze­nia ochro­ny danych oso­bo­wych. Oce­na taka zawie­ra sze­reg ele­men­tów wska­za­nych w RODO, wśród któ­rych jest opis pla­no­wa­nych ope­ra­cji prze­twa­rza­nia i jego celów. Nad­to doko­nu­je się w niej oce­ny ryzy­ka i wska­zu­je pla­no­wa­ne środ­ki zarad­cze dosto­so­wa­ne do stwier­dzo­nych ryzyk. Obo­wią­zek taki ist­nie­je, gdy rodzaj prze­twa­rza­nia danych oso­bo­wych, jaki dzia­ła u dane­go przed­się­bior­cy z dużym praw­do­po­do­bień­stwem może powo­do­wać wyso­kie ryzy­ko naru­sze­nia praw osób. Celem wyja­śnie­nia za wyso­kie ryzy­ko naru­sze­nia praw osób uzna­je się prze­twa­rza­nie danych szcze­gól­nych (np. o sta­nie zdro­wia), ale musi ono być wyko­ny­wa­ne na dużą ska­lę. Prze­pro­wa­dze­nie takiej oce­ny z całą pew­no­ścią będzie pomoc­ne dla cało­ścio­wej oce­ny doko­ny­wa­nej w ramach audy­tu ochro­ny danych osobowych.

Rejestr czynności przetwarzania

Zasa­dą jest, iż pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia jest ele­men­tem obli­ga­to­ryj­nym każ­de­go pod­mio­tu prze­twa­rza­ją­ce­go dane oso­bo­we. Wyjąt­ki od takiej zasa­dy zosta­ły uwzględ­nio­ne w prze­pi­sach RODO, do któ­rych nale­ży oko­licz­ność, pod­mio­ty zatrud­nia­ją mniej niż 250 osób. Zwol­nie­nie takie nie będzie jed­nak przy­słu­gi­wać, gdy prze­twa­rza­nie danych oso­bo­wych przez taki pod­miot powo­do­wać będzie ryzy­ko naru­sze­nia wol­no­ści lub praw osób, któ­rych dane doty­czą. Usta­le­niu czy oko­licz­no­ści takie zacho­dzą z całą pew­no­ścią pomóc może prze­pro­wa­dzo­ny u dane­go przed­się­bior­cy audyt RODO, w trak­cie któ­re­go ana­li­zu­je się, czy i w jakim stop­niu w fir­mie prze­strze­ga­ne są zasa­dy prze­twa­rza­nia danych oso­bo­wych, w tym prze­pi­sy usta­wy o ochro­nie danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych osobowych

Jeże­li w ramach głów­nej dzia­łal­no­ści pod­mio­tu prze­twa­rza on dane oso­bo­we, któ­re zwią­za­ne są z moni­to­ro­wa­niem osób (moni­to­ro­wa­nie to jest regu­lar­ne i sys­te­ma­tycz­ne) bądź prze­twa­rza szcze­gól­ne kate­go­rie danych na dużą ska­lę to taki pod­miot jest zobo­wią­za­ny do powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych. Mając na uwa­dze nie­jed­no­znacz­ność uży­tych w prze­pi­sach Roz­po­rzą­dze­nia sfor­mu­ło­wań, zale­ca­my prze­pro­wa­dze­nie audy­tu zgod­no­ści z RODO w swo­jej fir­mie, aby spraw­dzić, czy powo­ła­nie inspek­to­ra ochro­ny danych oso­bo­wych jest przez dane­go przed­się­bior­cę obligatoryjne.

Podsumowanie

RODO wpro­wa­dza sze­reg obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów oraz pod­mio­ty prze­twa­rza­ją­ce celem ochro­ny danych oso­bo­wych przez nich prze­twa­rza­nych. Pod­mio­ty te są bowiem obo­wią­za­ne do wdro­że­nia takich dzia­łań, aby zapew­nić odpo­wied­ni sto­pień bez­pie­czeń­stwa danych oso­bo­wych, któ­re zgro­ma­dzi­li w ramach pro­wa­dzo­nej przez sie­bie dzia­łal­no­ści gospo­dar­czej. Jed­nym z ele­men­tów takich dzia­łań jest cyklicz­ne prze­pro­wa­dza­nie audy­tów RODO, pod­czas któ­rych bada­na jest dotych­cza­so­wa dzia­łal­ność przed­się­bior­cy pod wzglę­dem jej zgod­no­ści z RODO oraz udzie­la­na pomoc we wdro­że­niu pro­ce­dur mają­cych na celu eli­mi­na­cję dotych­cza­so­wych błę­dów poja­wia­ją­cych się u pod­mio­tu bada­ne­go. Takie wła­śnie audy­ty ochro­ny danych oso­bo­wych są prze­pro­wa­dza­ne przez Kan­ce­la­rię Praw­ną Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni m.in. dla klien­tów z War­sza­wy i okolic.

Powrót do pod­stro­ny — szko­le­nie RODO