Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Za niecały rok zacznie obowiązywać ogólne rozporządzenie o ochronie danych osobowych (RODO). Oznacza to, że należy już zacząć wdrażać jego postanowienia. Najpierw jednak należy przeprowadzić audyt, który wskaże, jakie rozwiązania w przypadku konkretnego administratora danych warto zastosować. Audyt RODO może w teorii wykonać każdy… prawnik, informatyk, a nawet… stolarz czy mechanik. Zastanówmy się czego możemy oczekiwać od rzetelnego dostawcy. I co powinniśmy otrzymać w ramach zamawianej usługi.

Prawo stanowione przez Unię Europejską przechodzi przez trzy zasadnicze etapy. Pierwszy to etap dziecięcy, czyli niewiążące zalecenia i opinie. Drugi to etap regulowania za pomocą dyrektyw – system, który polega na „klonowaniu” norm dyrektywy przez krajowych ustawodawców. To etap wczesnej młodości, który za sprawą dyrektywy 95/46/WE przechodzimy obecnie. Trzeci etap to wiążące wszystkie państwa członkowskie rozporządzenie.

RODO – jaka będzie skala zmian

Ogólne rozporządzenie o ochronie danych osobowych (RODO) oznacza wejście przepisów ochrony danych osobowych w dojrzałą fazę. Ogólne rozporządzenie to rewolucja w systemie ochrony danych osobowych, który obowiązywał w całej Unii Europejskiej od 1995 roku za sprawą dyrektywy 95/46/WE.

To pierwsza tak duża reforma od ponad 20 lat. I zapewne ostatnia w najbliższym dwudziestoleciu. W naszej Kancelarii cały proces zmiany, nazywamy roboczo przejściem z systemu uodo, na system RODO.

Skalę zmian dobrze obrazuje porównanie objętości ustawy o ochronie danych osobowych z nowymi regulacjami. Ustawa o ochronie danych osobowych liczy sobie obecnie 62 artykuły. Ogólne rozporządzenie o ochronie danych liczy sobie 99 artykułów i 173 motywy preambuły!

Do tego będziemy musieli doliczyć przepisy nowej polskiej ustawy o ochronie danych osobowych (będzie regulowała głównie działanie nowego organu nadzorczego). A także dobre praktyki, które będzie wydawał nowy regulator.

Zmiany m.in. w kwestii kar finansowych

Ogólne rozporządzenie o ochronie danych wprowadza bardzo dużo nowości i reguluje materie wcześniej nie uregulowane prawnie. Ogólne rozporządzenie to zmiana paradygmatu. Do tej pory regulator (GIODO), nie miał możliwości prawnych nałożenia kary finansowej. Wyjątkiem była sytuacją bezskutecznego wezwania do usunięcia uchybienia. Możemy ten stan prawny zobrazować grożeniem palcem. Nowy regulator będzie mógł nałożyć karę do 4% obrotu lub 20 mln euro. I to bez żadnych ostrzeżeń!

Z drugiej strony, istota przepisów pozostaje podobna. Nadal możemy mówić o pięciu filarach ochrony danych osobowych, na które będą się składały:

  • Legalność przetwarzania danych (przesłanki legalności).
  • Świadomość osób przetwarzających dane osobowe.
  • Zabezpieczenia techniczne i organizacyjne.
  • Obowiązki notyfikacyjne do regulatora (incydenty, wyznaczenie inspektora ochrony danych).
  • Obowiązki informacyjne i prawa przysługujące osobom, których dane są przetwarzane.

Audyt rodo powinien zatem stać się fundamentem, na którym oprzemy system ochrony danych osobowych (system RODO).

Jak powinien wyglądać profesjonalny audyt RODO

Dużo mówi się obecnie o ogólnym rozporządzeniu o ochronie danych i analizuje się przepisy prawne. Namawia się przedsiębiorców oraz administrację publiczną do przejścia na system RODO jak najszybciej.

Generalny Inspektor Ochrony Danych Osobowych niedawno opublikował na swojej stronie bardzo pomocną infografikę i komentarz, które obrazują obszary, które powinien swoim zasięgiem objąć audyt RODO (informacje dostępne na głównej stronie GIODO).

Mamy źródła pomocne przy analizie nowych przepisów. Nie mamy jednak zbyt dużo praktycznych informacji o tym, jak przeprowadzić audyt od strony technicznej.

Na samym wstępie – ważny komunikat: wzór audytu rodo nie znajduje się w Sevres pod Paryżem. Nie został tez zapisany w żadnych przepisach powszechnie obowiązującego prawa.

Większość organizacji audytujących będzie starało się wykazać, że właśnie ich wersja audytu RODO to dla administratora danych najlepsze rozwiązanie. I nie ma oczywiście nic złego w reklamowaniu własnej usługi. Aby jednak łatwiej odnaleźć się we wszystkich zawiłościach związanych z praktycznym wdrożeniem ogólnego rozporządzenia o ochronie danych, proponuję każdy audyt RODO, rozłożyć na czynniki pierwsze.

Jaki jest cel audytu RODO

Na początek zastanówmy się, czego tak naprawdę oczekujemy od audytu RODO. Do mnie bardzo przemawia porównanie, którego użył dr Maciej Kawecki z Ministerstwa Cyfryzacji, który aktualnie przewodniczy pracom nad wdrożeniem RODO do polskiego systemu prawnego.

Obecnie obowiązujący system uodo, możemy porównać do gotowego garnituru kupionego w sklepie. Nie mamy zbyt dużo możliwości modyfikacji systemu. Może poza skróceniem lub wydłużeniem nogawek.

Przenosząc tą analogię na grunt prawny – rozporządzenie w sprawie dokumentacji z 2004 roku mówi nam o tym, jak powinna wyglądać dokumentacja ochrony danych osobowych i z czego powinna się składać. Przepisy wykonawcze regulują również to, jakie minimalne standardy powinno spełniać sprawdzenie danych osobowych i jak często powinniśmy je wykonywać.

System RODO nakazuje każdej organizacji uszycie garnituru na miarę. Tym razem nie otrzymamy precyzyjnych wytycznych co do kształtu dokumentacji ochrony danych osobowych. Nikt nie powie nam, jak często powinniśmy sprawdzać funkcjonowanie systemu ochrony danych osobowych (dzisiaj minimum raz do roku).

Wracamy do naszego odzieżowego porównania autorstwa dr Macieja Kaweckiego. Audyt RODO powinien pokazać nam precyzyjnie, z jakich materiałów możemy uszyć nasz garnitur. Dzięki audytowi z góry będziemy mogli wykreślić rozwiązania dla nas niebezpieczne czy nierealne do zastosowania praktycznego.

Audyt rodo musi dać nam odpowiedź np. na pytanie, czy wyznaczenie inspektora ochrony danych (IOD), jest naszym obowiązkiem czy też możemy działać bez IOD. Czy musimy modyfikować nasze klauzule zgód? I co z naszą dokumentacją ochrony danych osobowych… czy jeśli jest zgodna z systemem uodo, to czy automatycznie oznacza to również jej zgodność z RODO? Te pytania to oczywiście tylko wierzchołek góry lodowej.

Dobrze wykonany audyt RODO, pozwoli nam na precyzyjne rozeznanie się w możliwościach, które daje nam nowy system. A następnie podjęcie świadomej decyzji w sprawie wyboru i sposobu budowy nowego systemu ochrony danych osobowych.

Jak audyt może przebiegać od strony praktycznej

Audyt RODO w mojej interpretacji, składać się będzie z trzech kluczowych elementów:

  • zbierania informacji,
  • analizy informacji,
  • pomocy w podjęciu decyzji odnośnie do dostępnych rozwiązań.

Jeśli do tego dodamy jeszcze punkt 4, to dopiero wtedy otrzymamy działania sumujące się na wdrożenie ogólnego rozporządzenia o ochronie danych w organizacji:

  • wdrożenie wybranych rozwiązań.

Sam audyt RODO nie równa się automatycznie dostosowaniu działania organizacji do standardów ogólnego rozporządzenia o ochronie danych. Dopiero po wdrożeniu poaudytowych wniosków i zaleceń, będziemy mogli powiedzieć, że jesteśmy „RODO ready”.

Na wdrożenie ogólnego rozporządzenia o ochronie danych składa się:

  • Audyt:
  1. zbieranie informacji,
  2. analiza informacji,
  3. pomoc w wyborze dostępnych rozwiązań.
  • Wdrożenie wniosków i zaleceń poaudytowych, w szczególności:
  1. nowe klauzule obowiązków informacyjnych,
  2. respektowanie nowych zasad ogólnych,
  3. zmiany w politykach bezpieczeństwa,
  4. i wiele innych działań, których konieczność podjęcia wykaże audyt.

W przedstawionej systematyce, etap wdrażania ogólnego rozporządzenia o ochronie danych nie wchodzi w zakres audytu. Warto postawić tutaj wyraźną granicę. Dlaczego? Dopiero po przeprowadzeniu audytu i analizy rozwiązań, które wchodzą w grę, możemy oszacować skalę pracy i działań koniecznych do wdrożenia ogólnego rozporządzenia.

 

Przykład:

Audyt rodo wykazał, że konieczne jest powołanie inspektora ochrony danych. Zagadnienie zostało przeanalizowane także od strony prawnej. Dopiero teraz możemy zająć się wdrożeniem tego zalecenia oraz oszacować jego koszty. I to właśnie będzie już etapem wdrażania ogólnego rozporządzenia o ochronie danych.

Zwracam uwagę na bardzo istotny element – precyzyjne oszacowanie czasu i kosztów etapu wdrożenia ogólnego rozporządzenia o ochronie danych, będzie możliwe dopiero po zrealizowaniu pełnego audytu RODO.

Audyt czas zacząć – zbieranie informacji

Element informacyjny to nasza znajomość procesów, w ramach których przetwarzane są dane osobowe w organizacji. To wiedza na temat zakresu danych o pracownikach czy klientach, które przetwarzamy. Wiedza na temat rozmieszczenia kamer systemu monitoringu itp. Całość tej wiedzy powinna być zebrana w formie polityki bezpieczeństwa i załączników do niej.

Jeśli wyznaczyliśmy administratora bezpieczeństwa informacji i realizujemy sprawdzenia, to do audytu RODO powinniśmy wykorzystać już posiadaną przez nas wiedzę. To oczywiście przyspieszy i ułatwi zadanie.

Jeśli nie mamy dokumentacji ochrony danych osobowych i nie wdrożyliśmy do dziś systemu uodo – to na pewno pracy będzie znacznie więcej. W praktyce oznacza to, że powinniśmy wykonać pełen audyt informacyjny. Aby wyciągnąć wnioski i wybrać elementy naszego szytego na miarę garnituru, musimy zacząć od precyzyjnego rozeznania się w tym, co obecnie dzieje się w organizacji.

Analiza informacji

Najbardziej czasochłonna część audytu RODO to część analityczna. Jeśli wiemy już wszystko o procesach przetwarzania danych osobowych w organizacji, to musimy jeszcze zastanowić się nad tym, jak na te procesy wpłynie obowiązywanie nowych przepisów. Część analityczna audytu RODO będzie miała kluczowy wpływ na jego czasochłonność, a tym samym cenę.

 

Przykład:

Audyt wykazał, że bardzo istotne z perspektywy działalności administratora danych, zautomatyzowane operacje, które są prowadzone na danych osobowych, nie stanowią czynności profilowania. Dla administratora danych to oczywiście ułatwienie od strony organizacyjnej. Odpada część obowiązków i restrykcji związanych z profilowaniem, które przewiduje ogólne rozporządzenie o ochronie danych.

A teraz wyobraźmy sobie wizytę regulatora, który prowadzi kontrolę w organizacji administratora danych. I zadaje następujące pytanie: „Rozumiem, że uznali Państwo, iż wskazane operacje nie są profilowaniem. Na jakiej podstawie opierają Państwo swoje twierdzenie? Bo my nie jesteśmy tego wcale tacy pewni...”

I tutaj z pomocą przychodzi właśnie część analityczna audytu rodo. Jeśli jest ona solidnie wykonana, administrator danych pokaże regulatorowi np. fragmenty preambuły ogólnego rozporządzenia lub wytyczne Grupy Roboczej Art. 29, które potwierdzą jego tezę. Właśnie dlatego część analityczna audytu będzie stanowiła jeden z fundamentów wdrożenia ogólnego rozporządzenia o ochronie danych.

Żeby lepiej zobrazować różnicę między częścią analityczną audytu RODO, a częścią informacyjną, odwołam sie do jeszcze jednego porównania, tym razem medycznego.

Część informacyjną audytu, możemy porównać do zdjęcia wykonanego tomografem komputerowym. To dokładny skan, który pozwala nam dobrze zorientować się w tym, co kryje sie wewnątrz tkanki (organizacji).

Żeby jednak badanie było w pełni użyteczne, potrzebujemy jeszcze analizy zdjęcia. I to jest właśnie część analityczna audytu RODO, która zawiera interpretację i pełną diagnozę tego, co zostało sfotografowane.

Jak wybrać z dostępnych rozwiązań

Idąc tokiem medycznych skojarzeń – jeśli mamy dobrze wykonane zdjęcie (audyt informacyjny) ze specjalistycznym opisem (audyt analityczny), to nie pozostaje nam nic innego, jak wybrać metodę leczenia (wdrożenia ogólnego rozporządzenia o ochronie danych).

Audytorzy, w oparciu o swoją wiedzę i doświadczenie, powinni nam zreferować kluczowe elementy, z których będzie składał się system RODO. Na przykład:

  • Czy powołujemy inspektora ochrony danych?
  • W jaki sposób konstruujemy politykę bezpieczeństwa?
  • Jak często będziemy audytować system?
  • Jak często inspektor ochrony danych będzie obecny w organizacji?
  • W jaki sposób inspektor ochrony danych będzie dbał o poziom świadomości pracowników?
  • W jakiej formie nadamy upoważnienia i czy zrobi to inspektor ochrony danych czy np. pracownik działu kadr?

Teraz następuje bardzo ważny moment, w którym z pomocą audytorów wybierzemy optymalne dla nas rozwiązania. Ważne, aby system był szyty na miarę.

Przykład:

Do kwestii świadomości i realizacji szkoleń restrykcyjnie podejdziemy w szpitalu, gdzie pracownicy mają dostęp do wielu wrażliwych danych osobowych pacjentów. W tym przypadku warto szkolić personel osobiście, a e-learningi traktować uzupełniająco.

Z kolei w firmie produkującej np. urządzenia lub maszyny, działającej w sektorze B2B e-learningi możemy potraktować jako podstawową formę budowania świadomości.

Musimy zdać się tutaj na wiedzę i doświadczenie audytorów i zdrowy rozsądek. Jeśli przesadzimy z poziomem zabezpieczeń i formalności, system będzie drogi i nieskuteczny. Jeśli podejdziemy do wszystkiego zbyt liberalnie – ryzykujemy np. wysokie kary od nowego organu nadzorczego.

Po audycie następuje wdrożenie RODO

Ukoronowaniem procesu audytu będzie wdrożenie wybranych w poprzednim etapie rozwiązań. I tu ważna uwaga techniczna. Wdrożenie ogólnego rozporządzenia o ochronie danych musi przebiegać według ustalonego wcześniej i bardzo dokładnie przemyślanego harmonogramu.

Musimy przede wszystkim pamiętać o tym, że do 25 maja 2018 r., działamy w ramach systemu uodo! Wszystko, co robimy do tej granicznej daty, musi być przede wszystkim zgodne z ustawą o ochronie danych osobowych.

Jeśli będziemy zbyt przewidujący i na przykład powołamy inspektora ochrony danych 1 sierpnia 2017 r. to… nie zdziwmy się tym, że Generalny Inspektor Ochrony Danych Osobowych go nie zarejestruje.

Przygotowując harmonogram, znajdźmy w nim miejsce również na planowane wydanie przez organ nadzorczy dobrych praktyk czy kolejne wytyczne Grupy Roboczej Art. 29.

Wdrożenie powinno uwzględniać także nowelizację kilkuset polskich aktów prawnych odnoszących się do danych osobowych (np. Kodeks pracy). W zdecydowanej większości przypadków, wpływ na naszą organizację, będzie miało tylko kilka zmian w polskich ustawach, niemniej jednak, wdrażając ogólne rozporządzenie o ochronie danych, musimy mieć oko na te zmiany.

 Kto wdroży ogólne rozporządzenie

Do wykonania audytu i wdrożenia ogólnego rozporządzenia ochrony danych potrzebny jest cały zestaw kompetencji i umiejętności. Z pewnością ogromnym atutem będzie wiedza prawnicza osoby kierującej wdrożeniem.

Ale sama wiedza prawnicza nie wystarczy. Żeby wdrożyć system ochrony danych osobowych zgodny z ogólnym rozporządzeniem o ochronie danych potrzebne jest doświadczenie praktyczne we wdrażaniu systemów uodo.

Nawet najlepszy prawnik teoretyk nie wdroży ogólnego rozporządzenia o ochronie danych w sposób skuteczny, jeśli nie wdrażał wcześniej lub nie konsultował systemów uodo. Jeśli decydujemy się na wdrożenie ogólnego rozporządzenia o ochronie danych, warto sprawdzić, czy podmiot wdrażający dysponuje oprogramowaniem usprawniającym wdrożenie czy systemami e-learningowymi.

Brak dostępu do software nie przekreśla audytora, ale musimy być świadomi tego, że będziemy prawdopodobnie potrzebowali dodatkowego wsparcia.

Warto poruszyć kwestie IT. Ogólne rozporządzenie o ochronie danych co do zasady nie definiuje składni haseł czy precyzyjnych funkcjonalności systemów IT. Wytyczne w zakresie zabezpieczeń IT ma wydawać organ nadzorczy.

Przepisy ogólnego rozporządzenia o ochronie danych obliczone są na około 20 lat życia w niezmienionej formie. Sfera IT jest znacznie bardziej dynamiczna. Co roku pojawiają się nowe funkcjonalności, systemy i zupełnie nowe, wcześniej nieznane możliwości przetwarzania danych. Pojawiają się również nowe zagrożenia. Właśnie dlatego europejski ustawodawca nie uregulował IT zbyt szczegółowo na poziomie ogólnego rozporządzenia o ochronie danych.

Niemniej jednak z zasad ogólnych ogólnego rozporządzenia o ochronie danych wynika wymóg zapewnienia bezpieczeństwa danym osobowym. I tu z pomocą audytorom mogą przyjść firmy z sektora IT, które zbadają poziom zabezpieczeń informatycznych, wykonają testy penetracyjne itp.

Oczywiście audyt zabezpieczeń IT może wykonać również nasz wewnętrzny dział bezpieczeństwa. Audyt zabezpieczeń IT widzę jako jeden z wielu elementów całego systemu RODO. Z pewnością będzie to też element bardzo dynamiczny.

Jeśli oczekujemy wysokiej jakości i bezpieczeństwa – szukajmy firm doradczych i kancelarii prawnych, które mają wieloletnie, praktyczne doświadczenie we wdrażaniu systemów uodo.

 Jak zweryfikować doświadczenie wdrożeniowca

Przy weryfikacji doświadczenia osoby, która będzie wdrażać ogólne rozporządzenie o ochronie danych, z pomocą przyjdzie jawny i transparentny rejestr administratorów bezpieczeństwa informacji, który prowadzi Generalny Inspektor Ochrony Danych Osobowych. Jeśli wdrażający figuruje w rejestrze, znaczy to, że ma doświadczenie praktyczne we wdrażaniu systemów uodo polegające na pełnieniu funkcji ABI.

Jeśli wybieramy kancelarię prawną, która nie świadczy usługi outsourcingu ABI, warto sprawdzić, czy nasz audytor już wcześniej specjalizował się w obszarze ustawy o ochronie danych osobowych. Może zdarzyć się również tak, że specjalizacja w obszarze ogólnego rozporządzenia o ochronie danych, to jedynie wyraz rynkowego trendu i próba szybkiego dostosowania się do potrzeb rynku.

Na szczęście doświadczenie praktyczne, możemy łatwo sprawdzić, nie tylko korzystając z jawnego rejestru ABI. Możemy także poprosić o referencje od organizacji, w których audytor wdrażał systemy ochrony danych osobowych. Warto sprawdzić, kiedy audytor wdrożył pierwszy system ochrony danych osobowych (jak długie ma doświadczenie).

Doświadczenie będzie tutaj najcenniejszym kapitałem audytora. Pewne rozwiązania i szablony można łatwo skopiować – ale tylko w teorii. Całość wdrożenia systemu ochrony danych osobowych to zbyt złożone zagadnienie, aby nauczyć się go od podstaw w przeciągu 1-2 lat.

 Podsumowanie

Rozłożyliśmy audyt RODO na czynniki pierwsze. Zanim zlecimy audyt rodo, dowiedzmy się dokładnie, jaką wizję audytu ma wykonawca. I czy ta wizja jest spójna z naszymi oczekiwaniami.

W niektórych sytuacjach audyt RODO, który będzie kosztował np. 50 tys. zł (wraz z wdrożeniem), może okazać się… tańszy niż audyt kosztujący 5 tys. zł i obejmujący jedynie prostą część informacyjną, bez analityki i bez wdrożenia.

Pamiętajmy o doświadczeniu wdrażających. Im jest ono większe, tym większa szansa na to, że system, który zbudujemy, będzie bezpieczny i odporny na ewentualne sankcje nakładane przez organ nadzorczy.

Powiązane artykuły

Pozostał rok na dostosowanie się do systemu RODO/GDPR
Zgoda na przetwarzanie danych osobowych według RODO
Dyrektywa vs. Rozporządzenie. Czym jest Rozporządzenie UE?

5 Odpowiedzi

  1. Witam,

    Zbieramy i przetwarzamy wyłącznie dane osób w związku z pełnionymi przez nie obowiązkami zawodowymi (dane pracodawcy, telefon służbowy, mail służbowy, niekiedy dane prywatne, np. mail czy telefon, o ile są one lub mogą być wykorzystywane do celów służbowych). Ściślej rzecz biorąc, są to dziennikarze i kontrahenci (poddostawcy). Natomiast NIE gromadzimy ani nie przetwarzamy danych konsumentów.

    Czy nowe prawo nas dotyczy i w jakim stopniu?

    Z góry dziękuję.

    1. Kancelaria Lex Artist

      Zasada jest tutaj taka sama jak przy obecnej ustawie – im więcej danych osób fizycznych (również pracowników), tym więcej regulacji, których powinniśmy się trzymać. I tym większy wpływ RODO na aktualne procesy.

      Odpowiadając na Pana pytanie: tak RODO na pewno wpłynie na procesy przetwarzania danych w Pana organizacji.
      W jakim stopniu?
      To już jest pytanie na które można odpowiedzieć po wnikliwym zapoznaniu się z procesami przetwarzania danych.

      W formie komentarza możemy zasygnalizować kilka obszarów, które RODO modyfikuje szczególnie mocno:
      1) Transfery danych do państw trzecich,
      2) Powierzenia danych zewnętrznym firmom (outsourcingi),
      3) Dokumentacje ochrony danych osobowych i obowiązki osoby odpowiadającej za dane osobowe w organizacji (ABI, IOD).
      4) Zgody na przetwarzanie danych i obowiązki informacyjne,
      5) Działanie w przypadku incydentów ochrony danych osobowych,

Zostaw odpowiedź