Nowe unijne prawo ochrony danych osobowych: Audyt zgodności z RODO

25 maja 2018 r. zacznie obowiązywać rozporządzenie ogólne o ochronie danych osobowych (RODO), które nakłada więcej obowiązków w zakresie dokumentowania i monitorowania przestrzegania przepisów o ochronie danych osobowych. W celu zapewnienia przestrzegania nowego prawa należy wypracować szerokie mechanizmy kontroli. Zgodnie z zasadą rozliczalności wymagane jest, aby organizacje były w stanie wykazać zgodność procesów przetwarzania danych z obowiązującymi przepisami. Naruszenie przepisów może prowadzić do nałożenia znaczących sankcji finansowych, tj. do 20.000.000 euro lub 4 % rocznego obrotu. W celu zapewnienia zgodności z przepisami do maja 2018 r. rekomendujemy rozpoczęcie przygotowań już teraz.

Pozyskanie informacji

W pierwszej kolejności należy pozyskać szczegółowe informacje o nowych przepisach oraz zweryfikować, w jaki sposób odbywa się przetwarzanie danych w organizacji.

Identyfikacja procesów

Następnie należy zidentyfikować obszary, w których zachodzą procesy przetwarzania danych: typowymi obszarami są kadry (w tym proces rekrutacji), zarządzanie relacjami z klientami (CRM) oraz marketing (przykładowo wysyłanie newsletterów, stosowanie kart lojalnościowych).

Analiza legalności procesów

Każdy proces musi zostać szczegółowo przeanalizowany pod względem zachowania zasad przetwarzania danych osobowych (m.in. zasady ograniczenia celu, zasady poufności i integralności). Ponadto, w przypadku każdego procesu przetwarzania danych należy określić podstawę prawną dla przetwarzania. Jeśli proces jest przeprowadzany w oparciu o zgodę, konieczne jest sprawdzenie, czy wobec osób, których dane dotyczą, spełniono niezbędne obowiązki informacyjne. Przedsiębiorca musi ponadto zadbać o to, aby w razie kontroli móc wykazać spełnienie takich obowiązków.

Analiza procesów wewnętrznych

Konieczna jest weryfikacja zarówno przebiegu przetwarzania danych z udziałem czynnika ludzkiego jak i procesów przetwarzania zachodzących wyłącznie w systemach informatycznych. Należy zdefiniować środki techniczne i organizacyjne w celu zabezpieczenia danych, a także odpowiednio rozdzielić obowiązki w tym zakresie. Organy nadzorcze oczekują, że kwestie związane z ochroną danych osobowych będą raportowane również kadrze zarządzającej najwyższego szczebla. Z uwagi na konieczność wdrożenia środków technicznych wymagane jest zasięgnięcie opinii eksperta do spraw IT.

Wytyczne i obowiązki informacyjne

Po przeprowadzeniu wewnętrznego audytu procesów w przedsiębiorstwie, należy wdrożyć odpowiednie środki techniczne i organizacyjne. Przedsiębiorcy powinni dysponować odpowiednimi politykami, które będą określać, w jaki sposób przebiega przetwarzanie danych pracowników i klientów, ewentualnie również odrębne wytyczne w przypadku przetwarzania innych, szczególnych danych wykorzystywanych przykładowo na potrzeby monitoringu lub loterii. W przedsiębiorstwie powinny funkcjonować także zasady postępowania na wypadek naruszenia ochrony danych osobowych oraz transferu danych. Poza tym wymagana jest również aktualizacja lub przygotowanie odpowiedniej klauzuli informacyjnej, która znajdzie zastosowanie przy powiadamianiu osób, które kontaktują się z przedsiębiorstwem, o wykorzystaniu ich danych.

Dokumentacja

Dla określonych procesów przetwarzania danych powstaje obowiązek sporządzenia odpowiedniej dokumentacji. Z uwagi na zasadę rozliczalności rekomendujemy jednak, aby taką dokumentację prowadzić dla każdego procesu, w którym wykorzystywane są dane osobowe.

Inspektor Ochrony Danych

Dla niektórych przedsiębiorców powołanie inspektora ochrony danych będzie obligatoryjne. Zalecamy sprawdzić, czy dotyczy to również Państwa przedsiębiorstwa.

Budowanie świadomości oraz szkolenia

Pracownicy posiadający dostęp do danych osobowych muszą zostać poinformowani o nowych obowiązkach.

Monitorowanie i zapewnienie bezpieczeństwa są działaniami ciągłymi, które należy mieć na uwadze stale, w trakcie całego procesu przetwarzania danych.

Niniejsza informacja stanowi jedynie ogólny zarys zagadnień związanych z audytem zgodności procesów przetwarzania z przepisami o ochronie danych osobowych. Ustalenie, czy takie działania powinny zostać podjęte w Państwa przedsiębiorstwie wymaga odrębnej analizy z uwzględnieniem specyfiki organizacji oraz ewentualnych regulacji krajowych.

Jeśli są Państwo zainteresowani przeprowadzeniem takiego audytu zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM: mec. Tomaszem Szarkiem, mec. Aleksandrą Baranowską-Górecką oraz mec. Anną Materlą.