RODO: Monitorowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych
Zaznaczam to zawsze na szkoleniach, a także myślę, że na moim blogu, że najważniejszym, podstawowym obowiązkiem inspektora jest przeprowadzanie audytów. W tym momencie powołując się na przepisy RODO osoba, która zaczyna w zawodzie IOD, może mieć wiele wątpliwości, w jaki sposób powinna ten audyt przeprowadzać.
Od czego zacząć
Osobiście uważam, że warto wrócić do starych, sprawdzonych rozwiązań, jak uchylone rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, opisano krok po kroku jak dawny inspektor, czyli administrator bezpieczeństwa informacji, które określa w jaki sposób dawny inspektor, czyli ABI powinien prowadzić sprawdzenia zgodności przetwarzania danych osobowych z przepisami. To rozporządzenie lubię szczególnie, ze względu na to, że pojawiły się w nim wytyczne, jak powinno być skonstruowane sprawozdanie ze sprawdzenia prowadzonego przez ABI. Osoby, które zajmują się ochroną danych osobowych od czasów „sprzed RODO” bardzo często kontynuują swoje działania związane z przeprowadzeniem sprawdzeń na takich samych zasadach, jak to robiły zanim nowe przepisy weszły w życie. Przyczyna jest bardzo prosta, stare rozwiązania są logiczne, dobrze się sprawdzają, zostały już wypróbowane i łatwo jest uzasadnić, dlaczego w dalszym ciągu się je stosuje, tzn. były i są częścią dokumentacji ochrony danych osobowych i procedur związanych z ochroną danych osobowych u wielu administratorów. Dzisiaj skupiam się na innym temacie, czyli przygotowaniu do przeprowadzenia sprawdzenia. Sprawdzenia zgodności przetwarzania danych z przepisami możemy podzielić na dwa rodzaje, planowane i doraźne. Planowane to są te, które inspektor przeprowadza regularnie według wcześniej ustalonego planu. Doraźne sprawdzenia są realizowane, jeżeli jest podejrzenie naruszenia ochrony danych osobowych lub administrator danych wyraźnie prosi inspektora, aby dokonał audytu w określonym obszarze. Przygotowując plan audytu inspektor powinien zastanowić się nad tym ile ma czasu na jego realizację, uwzględniając czas niezbędny na opracowanie sprawozdania. Im więcej elementów będzie chciał sprawdzić, tym więcej czasu mu to zajmie.
Samo pisanie sprawozdania z audytu potrafi zająć tygodnie. W związku z tym zawsze polecam, aby inspektorzy w swoich planach dzielili audyty na mniejsze obszary, ze względu na konkretne jednostki organizacyjne, wydziały lub konkretne obszary związane z ochroną danych osobowych, jak na przykład powierzenia danych osobowych, dane przetwarzane w związku z zatrudnieniem lub monitoring wizyjny. Skupienie się na mniejszych obszarach sprawdzenia ma też tę zaletę, że można sprawniej przekazywać zalecenia administratorowi i sukcesywnie je przez administratora wdrażać (a potem sprawdzać, czy zostały skutecznie wdrożone).
Sprawdzenie wymagające wglądu do danych osobowych
Jeżeli inspektor zamierza prowadzić sprawdzenie w sposób wymagający od niego wglądu do danych osobowych, powinien otrzymać od administratora danych upoważnienie do przetwarzania tych konkretnych danych osobowych na czas prowadzenia audytu. Artykuły 37-39 RODO nie dają inspektorowi uprawnień do wglądu w dane osobowe, a ze względu na zasadę rozliczalności, ważne jest, aby administrator danych decydował o tym, kiedy i w jakim zakresie ma prawo dostępu do danych osobowych. Z własnego doświadczenia powiem, że dużo łatwiej jest przeprowadzić audyt, na przykład danych przetwarzanych w związku z zatrudnieniem, jeżeli ma się w ręku odpowiednie upoważnienie od administratora danych. Szczególnie pracownicy działów kadr i księgowości są wyczuleni na wszelkie kwestie udostępniania komukolwiek dostępu do danych. Nie ma znaczenia, czy tą osobą jest inspektor ochrony danych. Upoważnienie inspektor powinien po zakończeniu czynności dołączyć do sprawozdania ze sprawdzenia, jako jeden z załączników.
Omówienie wyników z administratorem
Wracając jeszcze do kwestii samego przeprowadzania sprawdzenia i tworzenia sprawozdania z niego, chciałbym podkreślić, że najważniejsze jest to, aby po jego opracowaniu omówić wyniki z administratorem danych. Zauważyłam, że wielu inspektorów ma problem, aby do takiego spotkania doprowadzić, szczególnie jeżeli są już etatowymi pracownikami, którzy otrzymali obowiązki inspektora, jako dodatkowe. Wówczas jest im tak jakby niezręcznie umawiać się na spotkanie z administratorem, aby porozmawiać o audycie. Jest to częsty błąd niedoświadczonych inspektorów. Ryba psuje się od głowy, więc jeżeli administrator danych nie będzie miał wiedzy, o tym, jakie ma problemy związane z zapewnieniem ochrony danych lub co gorsza sam będzie dawał zły przykład dotyczący przetwarzania danych osobowych, inspektor może dojść do wniosku, że jego praca i wysiłki nie mają sensu.
Kilka lat temu napisałam cykl artykułów na moim blogu dotyczących prowadzenia sprawdzeń. Znalazł się tam także wzór sprawozdania ze sprawdzenia, który był zgodny z ówczesnymi wytycznymi wynikającymi z rozporządzenia. Czasy się zmieniają, moje doświadczenia również uległy zmianom, co poskutkowało tym, że zmodyfikowałam stosowane wówczas sprawozdanie. Ponieważ w mailach do mnie często pytacie o to, jak powinno wyglądać sprawozdanie, czy można stosować tamten wzór, postanowiłam podzielić się z Wami moją nową wersją sprawozdania ze sprawdzenia, która uwzględnia konieczność wypowiedzenia się przez administratora danych w zakresie realizowania, bądź nie, zaleceń inspektora. Poniżej dwa wzory, jeden dla standardowego sprawozdania, drugi dla sprawdzenia żona go doraźnie, gdy jest podejrzenie naruszenia ochrony danych osobowych
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia?Napisz do mnie
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
