RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Jest to akt prawny, który powstał w celu ochrony danych osobowych i obowiązuje w Polsce od 25 maja 2018 r. Od tego dnia w naszym kraju obowiązują liczne obostrzenia związane ze zbieraniem oraz przetwarzaniem danych osobowych. Celem wprowadzenia RODO jest ochrona danych osobowych ludzi, które są dobrami osobistymi każdego człowieka. W praktyce obowiązywanie RODO oznacza, iż w zasadzie każdy przedsiębiorca wykonujący działalność gospodarczą ma obowiązek wdrożyć przepisy rozporządzenia do swojej firmy. W praktyce sposób tego wdrożenia, wymagana dokumentacja i rodzaj rozwiązań mogą się różnić w zależności, chociażby od wielkości prowadzonej działalności. Warto jednak starannie i skrupulatnie potraktować obowiązki wynikające z RODO, gdyż jakiekolwiek zaniedbania mogą skutkować wysoką odpowiedzialnością finansową.
Nadrzędnym celem RODO jest ochrona konsumentów, którzy mają prawo wiedzieć kto, dlaczego, w jakim celu i przez jaki okres zbiera i przetwarza ich dane osobowe. Podstawowy obowiązek wynikający z przepisów rozporządzenia ma zatem charakter informacyjny. Przedsiębiorcy przetwarzający dane osobowe klientów mają obowiązek prowadzenia odpowiedniej dokumentacji, w której zawarte będą zasady zbierania, przetwarzania oraz przechowywania tych danych. Rozporządzenie nakłada także obowiązek stosowania odpowiednich zabezpieczeń, które będą chronić informacje o klientach przed nieupoważnionym dostępem osób trzecich. Ponadto przedsiębiorca obowiązany jest do powołania administratora danych osobowych oraz inspektora danych, których zadaniem będzie czuwanie nad prawidłowym stosowaniem przepisów RODO w firmie. Wspomniane wyżej obowiązki nie wyczerpują oczywiście katalogu wszystkich wymogów wynikających z przepisów rozporządzenia. Należy jednak podkreślić, że niemożliwe jest wyczerpujące przedstawienie ogólnego wykazu obowiązków i powinności mającego zastosowanie do wszystkich przedsiębiorców. Każda firma przetwarza inne dane osobowe, w innych celach i skali, a także z przetwarzaniem tych danych wiążą się odrębne ryzyka związane ze specyfiką działalności. Dlatego każdy przedsiębiorca powinien przeprowadzić wnikliwą analizę procesów przetwarzania danych, która pozwoli mu na prawidłowe wdrożenie przepisów rozporządzenia.
Przedsiębiorcy muszą zdawać sobie sprawę, że niedostosowanie się do wymogów wynikających z rozporządzenia wiąże się z ryzykiem odpowiedzialności finansowej przewidzianej na wypadek zaniedbania prawidłowego dostosowania się do przepisów. W przypadku RODO mamy do czynienia z dwoma rodzajami kar:
Wysokość kar nie należy zatem do tych symbolicznych, a ponadto kara może zostać nałożona zarówno na osobę wykonującą jednoosobową działalność gospodarczą, jak i na dużą spółkę para handlowego – forma prawna i rozmiar prowadzanej działalności nie ma tutaj znaczenia.
W związku z wejściem w życie przepisów rozporządzenia dotyczącego ochrony danych osobowych, większość firm i instytucji poważnie zainteresowały się procedurą związaną z przetwarzaniem tych danych, jaką dotychczas stosowały. Przeprowadzane są analizy schematu działania, stosowanych praktyk i polityki panującej w placówkach. Przepisy rozporządzenia nie są jednak najłatwiejsze w interpretacji i dostosowanie się do nich w praktyce może być trudne, a ponadto wymogi nałożone przez RODO muszą cały czas pozostawać spełnione pomimo trwającego postępu technologicznego. Wielu przedsiębiorców nawet nie zdaje sobie sprawy z faktu, iż stosowane w ich firmie praktyki nie są zgodne z przepisami. Niedostosowanie się do przepisów naraża firmy i inne instytucje na odpowiedzialność finansową, a w niektórych przypadkach nawet na karę pozbawienia wolności do lat dwóch. Nie pozwoli uniknąć kary argument dotyczący problemów z interpretacją przepisów, dlatego warto przeprowadzić audyt, który pozwoli skrupulatnie sprawdzić i przeanalizować czy praktyki stosowane w danej instytucji są zgodne z prawem. Audyt RODO (określany również jako audyt bezpieczeństwa danych) to procedura prowadząca do zweryfikowania tego czy dana organizacja spełnia wymogi i prawidłowo realizuje zadania wynikające z Rozporządzenia o ochronie danych osobowych. Audyt przeprowadzany jest przez zewnętrzne firmy, które specjalizują się w tego typu procedurach. Często są to wykwalifikowani prawnicy, którzy posiadają doskonałe przygotowanie merytoryczne i wieloletnie doświadczenie.
Audyt RODO to procedura, która zlecana jest profesjonalistom zarówno przez duże spółki prawa handlowego, jak i przez osoby prowadzące jednoosobową działalność gospodarczą. Nie można zatem przedstawić jednoznacznego konkretnego sposobu na przeprowadzenie takiego badania, gdyż jego kształt uzależniony jest od wielu czynników. Sposób przeprowadzenia audytu oraz zastosowane do jego wykonania metody muszą zostać dostosowane do danego przedsiębiorstwa lub instytucji, skali działalności oraz ilości danych osobowych i sposobu ich przetwarzania. Standardową czynnością dokonywaną w trakcie audytu RODO jest przeprowadzenie odpowiedniego wywiadu z członkami organizacji, pracownikami, jak i kadrą zarządzającą. Ponadto nieodłącznym elementem każdej procedury jest szczegółowa analiza danej organizacji pod kątem zbierania i wykorzystywania przez nią danych osobowych. Specjalista dokonujący badania dokonuje między innymi:
Procedura związana z przeprowadzaniem audytu RODO prowadzi do stworzenia końcowego raportu, który zawiera pełen wykaz niezgodności z obowiązującymi przepisami. Ponadto często firmy przeprowadzające audyt oferują przygotowanie profesjonalnego planu działania i środków, które poprawią stopień bezpieczeństwa danych oraz pomogą danej firmie lub instytucji funkcjonować zgodnie z przepisami RODO.
Przepisy RODO nie nakładają na przedsiębiorców i inne instytucje przetwarzające dane osobowe obowiązku przeprowadzania audytu. Nakładają jednak obowiązkowe dokonywanie przeglądów i oceny skuteczności wdrożonych zabezpieczeń. Przedsiębiorcy mają jednak pełną swobodę co do sposobu wywiązania się z tego obowiązku – nie muszą zatem przeprowadzań audytu. Niezależnie od wybranego rozwiązania zapewniającego kontrolę zgodności z RODO, administratorzy danych osobowych muszą realizować zasadę rozliczalności.
Zasada rozliczalności wynika z art. 5 ust.2 RODO i wynika z niej odpowiedzialność administratora danych osobowych za przestrzeganie przepisów rozporządzenia i nakłada na niego obowiązek prawidłowego wykazania tego przestrzegania. W praktyce zasada ta oznacza, iż przedsiębiorcy i inne instytucje mają obowiązek dokumentowania wszelkich działań wynikających z RODO w formie dowodu, w sposób umożliwiający przedstawienie go na wezwanie, na przykład w razie kontroli UODO.
Inspektor ochrony danych (IOD) ma za zadanie monitorowanie i nadzorowanie procesu przetwarzania danych osobowych w organizacji. W trakcie audytu jego obowiązkiem jest zapewnienie, że wszystkie kroki podjęte są zgodne z przepisami prawa. Jak inspektor ochrony danych wpływa na zgodność audytu z przepisami prawa? IOD poprzez swoją wiedzę i doświadczenie pomaga zapewnić, że audyt jest zgodny z obowiązującymi regulacjami, w tym np. Rozporządzeniem o Ochronie Danych Osobowych (RODO), dbając o prawidłowe przetwarzanie danych. Jak inspektor ochrony danych zapewnia bezpieczeństwo danych osobowych podczas audytu? Inspektor działa jako strażnik ochrony danych, dbając o bezpieczeństwo informacji w trakcie audytu. Jego rola polega na wykrywaniu ewentualnych luk w zabezpieczeniach i zapewnieniu, że dane osobowe są odpowiednio chronione.
Czym jest outsourcing audytu bezpieczeństwa danych osobowych? Outsourcing to zlecanie audytu bezpieczeństwa danych osobowych zewnętrznej firmie specjalizującej się w usługach ochrony danych osobowych. Jakie są zalety korzystania z outsourcingu w zakresie audytów bezpieczeństwa danych osobowych? Przewagą jest dostęp do specjalistycznej wiedzy i doświadczenia ekspertów, elastyczność, oszczędność czasu oraz niezależność oceny zewnętrznej. Jakie czynniki należy wziąć pod uwagę przy wyborze partnera do outsourcingu audytu danych osobowych? Ważne jest sprawdzenie doświadczenia firmy, referencji, zgodności z przepisami prawa oraz klarownych warunków współpracy i ochrony poufności danych.
