Audyt RODO procesora – w jaki sposób go przeprowadzić? Kiedy audytować? Co zrobić, żeby nie zniechęcić do siebie naszych kontrahentów? Zapraszam do lektury!
Auditor po łacinie znaczy: słuchający
Audyt ochrony danych osobowych, to bardzo młoda dziedzina. Dopiero się rozwija i wypracowuje własne standardy.
Najdłuższą tradycję audyt ma w dziedzinie finansów i rachunkowości. Tutaj wypracowano wieloletnią praktykę sięgającą wieku XIX.
Jednak pierwsze audyty finansowe prowadzili już starożytni rzymianie. Stąd pochodzi słowo audyt: łac. auditor – słuchacz, słuchający.
Rzymski audyt polegał na przesłuchiwaniu urzędników odpowiedzialnych za finanse i sprawdzaniu czy nie doszło do nieprawidłowości.
Im większa będzie nasza pewność siebie i doświadczenie, tym poziom stresu będzie mniejszy.
Jako audytujący – musimy znać pewne zasady i reguły, które ułatwią nam współpracę z audytowanym podmiotem.
Jeśli to my jesteśmy audytowani – kluczowa będzie znajomość systemu ochrony danych osobowych w naszej organizacji.
Chcę, aby niniejszy artykuł pomógł zarówno audytującym, jak i audytowanym. Im większa wiedza, tym mniejszy będzie poziom stresu w trakcie audytu.
Audyt nie musi polegać na szukaniu winnych i czepianiu się nieistotnych szczegółów. Działanie audytowe może stać się okazją do nauczenia się czegoś nowego dla obu stron.
Czy audyt RODO procesora jest niezbędny dla zgodności z Rozporządzeniem?
Na początek krótkie przypomnienie. Procesor (inaczej: podmiot przetwarzający) to organizacja, która w naszymi imieniu przetwarza dane osobowe, którymi administrujemy.
Procesorami będą na przykład: firmy z branży IT, firmy organizujące dla nas działania marketingowe, biura rachunkowe etc.
Co na to RODO?
Zapisy dotyczące audytu procesora są rozrzucone w różnych miejscach RODO. Jedynym przepisem bezpośrednio traktującym o audytowaniu procesorów jest art. 28 ust. 3 pkt. h).
Powyższy przepis stanowi, że procesor musi umożliwić administratorowi prowadzenie działań sprawdzających: audytów lub inspekcji.
Nie znajdziemy w RODO przepisu, który powie nam wprost, że audyty procesorów są konieczne i należy je prowadzić z określoną częstotliwością i w konkretny sposób.
- art. 5 ust. 2 zasada rozliczalności
- art. 24 obowiązki ADO – odpowiednie środki techniczne i organizacyjne
- art. 28 ust. 3 pkt. h) „(procesor) (…) umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.”
- art. 39 ust. pkt b) audyty prowadzone przez IOD
Przepisy ogólne to np. zasada rozliczalności. W jaki sposób wykażemy, że zadbaliśmy o to, aby nasze dane osobowe były bezpieczne, jeśli nie zweryfikowaliśmy naszych dostawców (procesorów)?
Co na to praktyka?
Poza samymi przepisami, warto zwrócić też uwagę na powszechną praktykę, interpretacje i poradniki RODO wydawane przez regulatorów w UE.
Praktyka oraz regulatorzy idą zdecydowanie, w kierunku rekomendowania, wdrożenia pewnego poziomu kontroli nad procesorami (czyli audytu).
Jeśli pracujemy w dużej grupie kapitałowej, to istnieje bardzo duże prawdopodobieństwo, że nasza centrala poprosi nas o przedstawienie dowodów na to, że audytujemy swoich dostawców.
Jeśli nie poprosi nas o to bezpośrednio centrala, to możliwe, że zleci ona audyt RODO zewnętrznej firmie audytorskiej.
W jednym i drugim przypadku z prawdopodobieństwem graniczącym z pewnością, możemy spodziewać się pytania, o to w jaki sposób audytujemy naszych procesorów?
Dociekliwy audytor poprosi nas również o dowody świadczące o tym, że audyty faktycznie mają miejsce.
Jeśli pracujemy w małej organizacji i świadczymy usługi na rzecz dużych korporacji, to sytuacja wygląda dość podobnie.
Nasz korporacyjny klient może poprosić nas o wskazanie w jaki sposób i komu podpowierzamy dane osobowe, których jest administratorem.
Podsumowując – RODO nie mówi wprost o konieczności audytu RODO procesora, niemniej jednak, możemy przyjąć, że pewna kontrola nad procesorami jest absolutnie niezbędna.
Musimy więc posiadać procedury audytu procesora i co więcej – musimy stosować je w praktyce.
Jakie są korzyści i trudności związane z audytem procesora?
Część praktyczną zaczniemy od krótkiej analizy korzyści oraz trudności związanych z audytem procesora.
Korzyść | Trudność |
---|---|
Minimalizujemy ryzyko związane z transferem danych do podmiotów zewnętrznych | Audyt RODO procesora może być czasochłonny |
Mamy czym się „pochwalić” na wypadek kontroli Regulatora czy audytu wewnętrznego | Audyty mogą zniechęcać do nas naszych dostawców |
Zapewniamy 100% zgodności z RODO | Brakuje nam know – how potrzebnego do realizacji audytu |
Warto przyjrzeć się szczególnie rubryce z trudnościami. Wdrażając procedury audytowe, możemy przygotować je w taki sposób, żeby zminimalizować trudności.
Jak to zrobić? O tym napiszę w kolejnych akapitach.
Jeśli audytuję procesora to czy potrzebuję jego zgody w umowie powierzenia?
Tak postawione pytanie pokazuje, że system ochrony danych osobowych jest pewną spójną całością. Jeśli chcę realizować audyty procesora, to warto zastrzec odpowiednią ich formę od razu na etapie podpisywania umowy powierzenia.
- z jakim wyprzedzeniem Administrator zgłasza chęć wykonania audytu RODO procesora?
- kto pokrywa koszty częstych audytów?
- w jakich nieprzekraczalnych terminach procesor udostępnia administratorowi żądane informacje?
- jakie uprawnienia daje Administratorowi stwierdzenie istotnych uchybień w toku audytu RODO procesora?
Audyt procesora? Tak, ale z umiarem
- Zbyt częste i zbyt szczegółowe audyty RODO procesora to kosztowne działania. Zarówno dla administratora, jak i dla procesora. Jeśli to my jesteśmy procesorem i obawiamy się zbyt częstych audytów naszego kontrahenta – możemy od razu na etapie podpisywania umowy powierzenia zastrzec, że dodatkowe koszty związane z obciążeniem czasowym procesora podczas audytu pokryje administrator danych.
- Warto też od razu wprost ustalić, co dzieje się ze współpracą w przypadku wykrycia dużych nieprawidłowości. W tym przypadku audyt RODO procesora może okazać się podstawą do podjęcia ważnej decyzji biznesowej (np. zakończenia współpracy).
W mojej umowie brak o zapisów pozwalających na kontrolę… Co robić?
Oczywiście jeśli nie określiliśmy precyzyjnie w umowie powierzenia kwestii związanych z audytem procesora, to na mocy samych przepisów RODO i tak procesor będzie zobowiązany do współpracy:
Niemniej jednak, dobre zapisy w umowie powierzenia, stawiają nas w znacznie bardziej komfortowej sytuacji.
Co konkretnie możemy audytować?
Audyt RODO procesora może obejmować każdy aspekt związany z przetwarzaniem powierzonych danych osobowych.
W Lex Artist te obszary grupujemy w filary. W ten sposób zaprezentuję przykładowe możliwości audytowe w każdym z filarów:
LEGALNOŚĆ
- W obszarze legalności nie ma zbyt dużo działań do podjęcia. Jeśli jesteśmy administratorem, to my musimy zadbać o zapewnienie przesłanek legalności dla procesu.
- Umowy powierzenia z subprocesorami – czy je podpisano, jaka jest ich treść?
- Czy procesor prowadzi rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania? Warto sprawdzić czy takie dokumenty nasz procesor w ogóle posiada.
- Możemy oprzeć się na oświadczeniu procesora, że dokumenty wdrożono. Możemy iść dalej i poprosić o ich kopie czy dotyczące nas fragmenty kopii.
ŚWIADOMOŚĆ
- Zbadajmy, czy pracownicy procesora wiedzą jak się obchodzić z powierzonymi danymi osobowymi.
- W szczególności możemy sprawdzić ich ogólny poziom wiedzy (np. czy wiedzą czym są dane osobowe i ich przetwarzanie), albo na czym polega relacja administrator – procesor.
- Zweryfikujmy, czy pracownicy procesora potrafią realizować w praktyce procedury raportowania o incydentach lub czy potrafią realizować prawa przysługujące osobom fizycznym.
- Możemy też oprzeć się na samych deklaracjach procesora, że przeszkolił swój personel.
- Poprośmy o „podkładkę” pod deklarację o szkoleniu – zaświadczenie lub certyfikat.
ZABEZPIECZENIA
- Zapytajmy o wdrożenie procedur RODO u procesora. Takie procedury jak np. raportowanie o incydentach są szczególnie istotne w przypadku powierzeń przetwarzania danych.
- Możemy zapytać o fakt wdrożenia polityk ochrony danych osobowych czy innych zabezpieczeń organizacyjnych.
- Zweryfikujmy zabezpieczenia IT (tutaj potrzebne będzie wsparcie informatyka z naszej strony).
- Podobnie jak w przypadku świadomości – możemy uznać same oświadczenia procesora za wiarygodne i nie wnikać w ich prawdziwość. Możemy też poprosić o konkretne procedury czy sprawdzić zabezpieczenia IT na miejscu.
REGULATOR
- Warto sprawdzić czy procesor wyznaczył inspektora ochrony danych. Oczywiście taki obowiązek nie zawsze istnieje, jednak fakt wyznaczenia IOD, zawsze możemy interpretować na korzyść procesora.
- Jeśli nie wyznaczono IODa, sprawdźmy czy w kontrolowanym podmiocie w ogóle jest osoba, która deklaruje, że podjęła się odpowiedzialności za procesy przetwarzania danych osobowych.
PRAWA OSÓB
- Jeśli procesor ma w naszym imieniu dopełniać obowiązki informacyjne czy realizować prawa osób, których dane są przetwarzanie – koniecznie sprawdźmy, czy robi to w prawidłowy sposób.
- Sprawdźmy też czy ma do takich działań odpowiednie zasoby. Jeśli osób realizujących swoje prawa będzie dużo – procesor musi posiadać odpowiednio liczny i przeszkolony personel.
- Jeśli to my jako administrator realizujemy prawa osób, to musimy mieć 100% pewności, że procesor niezwłocznie będzie nam przekazywał wszelkie pisma i maile.
Kogo audytować?
Kolejne istotne pytanie to kwestia tego, kogo poddawać audytowi. Jeden z naszych Klientów otrzymał zalecenie od centrali aby przeaudytować wszystkich swoich dostawców usług.
Szybka analiza systemu CRM wykazała, że dostawców jest… kilkanaście tysięcy.
Audyt RODO kilkunastu tysięcy procesorów zająłby ogromną ilość czasu, którego potem zabrakłoby na inne filary związane z ochroną danych osobowych.
Jak więc poradzić sobie w sytuacji dużej ilości dostawców?
Najczęściej stosowane są dwa rozwiązania, przy czym można je ze sobą dodatkowo łączyć.
- Metoda selekcji procesorów: wybieramy tylko tych dostawców, którzy przetwarzają największą ilość danych osobowych (w tym np. dane szczególnie chronione). Warto najpierw ustalić kryteria wyboru, a następnie audytować tylko wybranych dostawców usług.
- Metoda próbkowania: dzielimy procesorów na różne grupy ryzyka, a następnie audytujemy kilku przedstawicieli każdej z grup.
Jak skutecznie audytować procesora?
Skuteczny audyt RODO procesora wcale nie musi być bardzo długi i uciążliwy dla obydwu stron. Skutecznym narzędziem będą przede wszystkim checklisty audytowe.
Odpowiednio opracowane checklisty pozwolą na zweryfikowanie procesora w skuteczny sposób nawet poprzez audyt zdalny.
W praktyce, tak właśnie wygląda większość audytów RODO procesora – zdalna wysyłka checklist i analiza zebranych informacji. W razie konieczności, poproszenie o dokumenty potwierdzające złożone w formie wypełnionych checklist oświadczenia.
Od czego więc zacząć? Przede wszystkim od przygotowania checklist z pytaniami dla audytu zdalnego.
Możesz zainspirować się naszymi listami audytowymi, możesz je zmodyfikować lub stworzyć je od podstaw.
Procedura kontroli podmiotu przetwarzającego (audyt procesora)
Chcesz postępować zgodnie z zasadą rozliczalności i skutecznie skontrolować podmiot, któremu powierzasz przetwarzanie danych osobowych?
Skorzystaj z naszej procedury kontroli oraz sprawdzonych czeklist i przeprowadź skuteczny audyt procesora!
Jak audytować procesora? Wskazówki praktyczne
- Unikaj zbyt dużego poziomu ogólności pytań
- Na przykład pytanie, o to czy procesor działa zgodnie z RODO, będzie zdecydowanie zbyt ogólne. Takie pytanie zdarzało się naszym klientom otrzymywać od audytujących podmiotów.
- Unikaj zbyt dużego poziomu szczegółowości pytań
- Zbyt szczegółowe pytania, również mogą skomplikować nam zadanie i utrudnić wyciągnięcie trafnych wniosków.
- Na przykład prośba o przesłanie przez procesora kompletu dokumentacji ochrony danych osobowych wraz załącznikami to zdecydowanie zbyt dużo.
- Pytaj o daty
- Pytanie o daty może się okazać bardzo skuteczne dla audytora. Jeśli zapytamy, o to czy miały miejsce szkolenia z zakresu RODO, to zapewne zawsze uzyskamy odpowiedź twierdzącą.
- Jeśli jednak poprosimy o daty i miejsce realizowanych szkoleń, może się okazać, że procesor nie jest w stanie wskazać ani precyzyjnej daty, ani miejsca szkolenia. A to już zdecydowanie ważny sygnał ostrzegawczy dla audytora.
- Dopasuj checklistę do procesora – najlepiej przygotowując 2 lub 3 jej wersje
- Warto przygotować minimum dwie wersje audytu. Jedna wersja będzie audytem bardziej ogólnym i uproszczonym. Taką wersję adresujemy do procesorów, którzy przetwarzają mniej istotne dane osobowe w mniejszych ilościach, tym samym generując dla nas mniejsze ryzyka prawne.
- Druga wersja audytu to audyt bardziej szczegółowy, przeznaczony dla naszych kluczowych partnerów biznesowych. Na przykład dla dostawców naszego systemu informatycznego, przetwarzającego dane kadrowe czy dla firm zajmujących się marketingiem, tworzących bazy KlientóOdwiedź sklepw etc.
Audyt stacjonarny
Bazując na przygotowanych checklistach, możemy również zdecydować się na audyt stacjonarny. Pamiętaj o tym, że wizyta audytowa u naszego dostawcy wygeneruje dużo czasu i zaangażowania po obu stronach.
Na audyty stacjonarne decyduj się tylko w przypadkach kluczowych powierzeń przetwarzania danych osobowych.
Inną sytuacją, która uzasadnia realizację audytu stacjonarnego, może być wyciek danych osobowych po stronie procesora.
Co zrobić w przypadku wykrycia uchybień w toku audytu?
Każdy audyt powinien zakończyć się przygotowaniem raportu. Z prowadzonych przez nas działań powinno coś wynikać.
Wnioski z audytu, oczywiście mogą być bardzo różne. Od stwierdzenia braku uchybień, aż po znalezienie uchybień tak poważnych, że mogą one uzasadniać zakończenie współpracy z procesorem.
I tu ważna uwaga: arsenał dostępnych nam środków, będzie w dużej mierze zależał od tego, jaka jest treść podpisanej przez nas umowy powierzenia.
Środki, które możemy zastosować znajdując nieprawidłowości, powinny być oczywiście adekwatne do skali uchybienia.
Wezwanie do usunięcia uchybień
Sankcje biznesowe
Rozwiązanie umowy o współpracy
Kary umowne zastrzeżone w umowie powierzenia
Sankcje cywilnoprawne związane z prawem zobowiązań
Poinformowanie regulatora
Zawiadomienie do prokuratury
Podsumowanie
Audytować procesorów nie tylko trzeba, ale też warto. Jeśli wykonamy czynności audytowe, minimalizujemy ryzyko trafienia na nierzetelnych dostawców usług.
Jeśli znajdziemy uchybienia u naszego procesora, zyskujemy też skuteczne narzędzie biznesowe przy ewentualnych negocjacjach, co do kształtu oraz ceny usługi.
W przypadku poddania naszej organizacji audytowi (wewnętrznemu lub zewnętrznemu), wykazanie naszej aktywności na polu audytu procesora, na pewno będzie bardzo pomocne.
Zakładając, że bazujemy do dobrych checklistach audytowych, te wszystkie korzyści uzyskamy relatywnie niedużym nakładem czasowym.
Pobierz artykuł w PDF
Źródła:
7 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam – czy z firmą zewnętrzną, realizującą audyt w naszej firmie, na zlecenie naszego klienta (audyt nie wynika z przepisów prawa, tylko z ustaleń dotyczących współpracy między firmami) należy podpisać umowę powierzenia, jeżeli audytowanie wymaga czasami udostąpnienia danych osobowych?
Dzień dobry. Nie ma wymogu, aby Państwo podpisywali umowę powierzenia. W ramach audytu udostępniają Państwo dane osobowe Klientowi (który zleca Państwa audyt), a z kolei Klient powinien zawrzeć z firmą audytorską umowę powierzenia. Pozdrawiamy!
Bardzo dziękuję za szybką odpowiedź 🙂
Dzień dobry,
czy wysyłając maila do kilku pracowników (np. gdy robi to dyrektor), na ich adresy służbowe , też trzeba stosować opcję „ukryte do wiadomości”?
Pozdrawiam
Dzień dobry. W wewnętrznej korespondencji firmowej nie widzimy takiej konieczności. Pozdrawiamy!
A co w sytuacji, kiedy mamy do czynienia z umową udostępnienia danych – np lekarzowi medycyny pracy. Bronią się oni przed zapisami w umowie o audycie twierdząc, że są to uprawnienia przypisane powierzeniu danych. Tymczasem AD, bez prawa do audytu, nie wywiąże się z obowiązku należytego zweryfikowania podmiotu – administratora, któremu udostępnia dane swoich pracowników, nawet jeżeli niektórzy twierdzą, że faktycznie ich nie udostępnia, bo to jakoby pracownik sam o tym decyduje.
Zatem, czy AD ma do tego prawo, czy zapisy w RODO do tego upoważniają, a jeżeli administrator nie wyrazi zgody, czy winniśmy rozważyć np rozwiązanie takiej umowy dla naszego bezpieczeństwa, jako AD?
Dzień dobry. Nie ma konieczności zawierania umów udostępnienia danych. Po drugie, rację mają placówki medycyny pracy, ponieważ dane osobowe się im udostępnia, a nie powierza, stąd brak możliwości audytu odrębnego administratora danych. Pracodawca, udostępniając dane pracowników w zakresie wykonywania medycyny pracy, ma do tego podstawę prawną, a placówka medycyny pracy, jako odrębny administrator powinna zadbać o ich należyte zabezpieczenie itp. Pozdrawiamy!