Jakie kluczowe obszary sprawdza UODO w czasie kontroli?

Czy inspektorzy zainteresują się Twoimi RODO-szkoleniami i upoważnieniami do przetwarzania danych osobowych? W jaki sposób UODO zweryfikuje strukturę organizacyjną ADO? Czy skrzynki e-mail Twoich pracowników mogą być przeszukane pod kątem „starych” CV? Jak często powinniśmy realizować audyty zgodności z RODO? Czy rejestr naruszeń powinien być pusty? W skrócie: zapraszamy Cię na krótkie podsumowanie naszych ostatnich doświadczeń z kontroli UODO.

Obejrzyj poradnik w wersji video…

…lub odsłuchaj w formie audio

Jak inspektorzy UODO podchodzą do kontrolowanych organizacji?

RODO to nie tylko podpisanie Polityki Ochrony Danych Osobowych przez Zarząd. To nie sama analiza ryzyka. RODO to nie tylko cyberbezpieczeństwo. Ochrona danych osobowych nie polega tylko na szkoleniu zespołu. RODO to nie tylko szafy zamykane na klucz.

Bardzo często na RODO patrzy się z jednej, wąskiej perspektywy. W zależności od specjalizacji osoby wdrażającej system ochrony danych osobowych w organizacji (np. prawnik albo specjalista od cyberbezpieczeństwa), często możemy usłyszeć właśnie, że „RODO to ocena ryzyka albo „RODO to IT security”.  

Inspektorzy z UODO spojrzą na zgodność Twojej organizacji w sposób (modne słowo alert) HOLISTYCZNY. To znaczy nie koncentruje się na żadnym z wymienionych w poprzednich akapitach obszarów. Sprawdzając zarazem z równym zaangażowaniem każdy z nich. I przy okazji parę innych. Pokażę Ci to na praktycznym przykładzie. 

Do jednego z protokołów z kontroli UODO, w której uczestniczyliśmy załączone były 63 (tak, dobrze czytasz: sześćdziesiąt trzy) dokumenty. Każdy z nich wykazywał zgodność z RODO kontrolowanej organizacji w innym obszarze. Były to między innymi: 

  • Struktura organizacji systemu ochrony danych osobowych 
  • Zasady retencji danych osobowych 
  • Zasady privacy by design i privacy by default 
  • Procedura szkoleń z zakresu ochrony danych osobowych 
  • Procedura nadawania upoważnień do przetwarzania danych osobowych 
  • Procedura postępowania z naruszeniami ochrony danych osobowych 
  • Procedura analizy ryzyka 
  • Procedura oceny skutków dla ochrony danych osobowych (DPIA) 
  • Procedura testu równowagi prawnie uzasadnionego interesu administratora lub strony trzeciej 
  • Procedura realizacji praw osób, których dane dotyczą 
  • Procedura kontroli podmiotów przetwarzających 
  • Procedura audytów zgodności przetwarzania danych osobowych 

Przyjrzyjmy się nieco bardziej szczegółowo wybranym obszarom.

Struktura organizacyjna systemu ochrony danych osobowych

UODO przyjrzy się uważnie strukturze organizacyjnej w Twojej firmie, czy urzędzie. Przynajmniej w zakresie odpowiedzialności za obszar ochrony danych osobowych.

Co inspektorzy UODO sprawdzą w szczególności?

  • [opcjonalnie, jeśli IOD został powołany] pozycja Inspektora Ochrony Danych w organizacji. UODO zapyta np.: Czy IOD podlega bezpośrednio pod ADO? Jakie obowiązki wykonuje Inspektor Ochrony Danych i czy w toku ich realizacji nie dochodzi do konfliktu interesów? Czy został opracowany regulamin i plan pracy IOD? W jaki sposób ADO zapewnia odpowiednie zasoby IODowi do wykonywania swoich obowiązków? Czy został wyznaczony zastępca IOD? Jaki jest tryb postępowania w razie czasowej nieobecności IOD? Czy fakt wyznaczenia IOD został zgłoszony do UODO? Czy dane kontaktowe Inspektora znajdują się na stronie internetowej organizacji lub w innym ogólnodostępnym miejscu?
  • odpowiedzialność za bezpieczeństwo IT. Kto odpowiada za ten obszar (np. Administrator Systemów Informatycznych ASI)? Czy jest to pracownik organizacji, czy zewnętrzna firma? Jeśli zewnętrzna firma, to w oparciu o jakie kryteria została wybrana? I czy została poddana procedurze audytu procesora? Jak często realizowane są audyty cyberbezpieczeństwa? Jakie są zastosowane zabezpieczenia IT? W oparciu o jakie kryteria uznaliśmy, że są one odpowiednie?
  • Czy zostały formalnie wyznaczone inne osoby odpowiedzialne za obszar ochrony danych osobowych, np.: koordynator, zarządzający procesem przetwarzania danych, oficer bezpieczeństwa danych osobowych.

Ważne jest, żeby w toku budowania struktury organizacyjnej unikać scenariusza człowieka-jednoosobowej-orkiestry. Cały system ochrony danych nie powinien w całości opierać się na jednej osobie.

Szkolenia i upoważnienia

UODO sprawdzi nie tylko to, czy opracowano (i wdrożono ;)) procedurę nadawania i ewidencjonowania upoważnień do przetwarzania danych osobowych oraz szkolenia pracowników. Inspektorzy upewnią się, że cały proces jest skuteczny i. Jak to sprawdzą? UODO porosi np. o:

  • przedstawienie list obecności na RODO-szkoleniach (jeśli są realizowane stacjonarnie);
  • przedstawienie logów systemowych potwierdzających realizację e-learningów (jeśli są realizowane w formie elektronicznej);
  • okazanie treści szkolenia: slajdów PowerPoint, czy screenshotów z poszczególnymi ekranami e-learningu. Inspektorzy UODO ocenią nie tylko ilość, ale i jakość;
  • najstarsze, najnowsze, i „środkowe” upoważnienie do przetwarzania danych osobowych;
  • jakie treści zawiera upoważnienie do przetwarzania danych osobowych i czy obliguje pracownika do zachowania danych w poufności?

Retencja danych

Retencja danych, czyli zgodność z zasadą ograniczenia czasu przetwarzania danych osobowych. Czyli coś, z czym bardzo wiele firm i urzędów ma ogromne problemy. Oczywiście inspektorzy UODO doskonale zdają sobie z tego sprawę.

Dlatego w praktyce sprawdzą to, czy retencja działa prawidłowo:

  • teoretycznie – czy ustalono okresy przechowywania danych osobowych w ramach każdego procesu. I czy te okresy są zgodne z przepisami prawa.
  • praktycznie – czy opracowane „na papierze” okresy retencji zgadzają się z rzeczywistością. Jak UODO to sprawdza? Przykładowo pracownik UODO prosi pracownika recepcji lub HR, żeby,  zalogował się na swoją pocztę email i wpisał frazy „CV”. Inspektor sprawdzi następnie, czy na poczcie mailowej znajdują się jakieś nieaktualne CV, na przykład z rekrutacji sprzed 4 lat.

Naruszenia ochrony danych osobowych

Podobnie jak ze szkoleniami u upoważnieniami – UODO sprawdzi nie tylko to, czy opracowano (i wdrożono 😉 procedurę zarządzania i ewidencjonowania naruszeń ochrony danych. Inspektorzy Urzędu sprawdzą też, czy cały proces jest skuteczny i realizowany zgodnie z przewidzianymi w prawie terminami. UODO porosi np. o:

  • rejestr naruszeń. Od razu uprzedzam, że to, że Twój rejestr jest pusty, to wcale niekoniecznie dobra informacja. Przeważnie, nieuzupełniony rejestr naruszeń wygląda inspektorom UODO… podejrzanie. Mało wiarygodna jest sytuacja że w Twojej firmie, czy urzędzie od 2018 roku nie miało miejsca żadnego żadne naruszenie ochrony danych osobowych. Pusty rejestr będzie raczej świadczył, że procedura zgłaszania naruszeń odpowiednim osobom w firmie nie działa.
  • sposób kalkulacji ryzyka naruszenia. Na jakiej podstawie oceniasz, że dane naruszenie ochrony danych osobowych kwalifikuje się jako naruszenie podlegające pod obowiązek notyfikacji do UODO? Albo poinformowania osoby, której dane dotyczą?
  • przykładowe protokoły z naruszeń ochrony danych.
  • przykładowe zgłoszenia incydentów bezpieczeństwa informacji do ASI, IOD, czy innej osoby odpowiadającej za zarządzanie naruszeniami ochrony danych osobowych.

Analiza ryzyka

Inspektorzy UODO zainteresują się tym, jak wygląda procedura realizacji oceny ryzyka. Urzędnicy zapytają np.:

  • Kto w praktyce odpowiada za realizację analizy ryzyka?
  • Jak często analiza jest aktualizowana?
  • Kiedy została wykonana ostatnia analiza ryzyka?
  • W jaki sposób i w oparciu o jaką metodykę skonstruowana jest matryca analizy ryzyka?
  • Czy został opracowany plan postępowania z ryzykiem i w jaki sposób jest w praktyce realizowany?

Audyty

Jak mantrę powtarzamy słynne motto Bruce’a Schneiera:

Bezpieczeństwo to nie produkt. To proces.

Dlatego bardzo istotne jest to, żebyśmy byli w sposób rozliczalny wykazać, że wykonujemy cykliczne, systematyczne działania audytowe. Że stale monitorujemy otoczenie prawne, zewnętrzne zagrożenia oraz zgodność procedur ze stanem faktycznym.

W czasie kontroli UODO inspektorzy poproszą nas m.in. o: ostatnie raporty z audytów. Zarówno zgodności z RODO, jak i cyberbezpieczeństwa. Inspektorzy UODO sprawdzą, czy audyty są realizowane systematycznie i cyklicznie (np. co roku, czy co dwa lata).

Urzędnicy zainteresują się też planem audytów na kolejne miesiące. Inspektorzy UODO sprawdzą też, czy rekomendacje poaudytowe są wdrażanie.

e-learning RODO

Bądź zawsze gotów na kontrolę UODO – skorzystaj z naszej aplikacji

Dzięki aplikacji SODO możesz „ogarnąć” całą zgodność z RODO w jednym miejscu. Od prowadzenia rejestrów, poprzez szkolenie zespołu, nadawanie upoważnień, zarządzanie ryzykiem i wiele innych. Dołącz do ponad 40 tys. użytkowników SODO – ułatw sobie życie i zautomatyzuj RODO-procesy.

Dowiedz się więcej o SODO

Sprawdź

Podsumowanie

Zgodność z RODO to nieustający proces. Cały ten proces powinien być też maksymalnie rozliczalny. Zarówno Ty, jak i Zarząd, w przypadku kontroli UODO, musicie być w stanie wykazać, że realizujecie w praktyce wszystkie obowiązki. I co ważne, że w związku z tym procesem są podejmowane konkretne działania mające na celu zwiększenie poziomu bezpieczeństwa przetwarzanych danych osobowych.

A jak Tobie wychodzi raportowanie zgodności z RODO kadrze kierowniczej? Na jakie napotykasz przeszkody? Podziel się z nami swoimi doświadczeniami w komentarzach.

Powiązane artykuły

rodo faq
Zgodność z RODO – jak efektywnie raportować ją Zarządom?
Co ADO powinien zapewnić IODowi? (cz. II)
Co ADO powinien zapewnić IODowi? (cz. I)

5 Odpowiedzi

  1. Angelika

    Dzień dobry,
    szukam odpowiedzi na pytanie czy placówka medyczna powinna zawierać umowy powierzenia przetwarzania danych z prywatnym ubezpieczycielem na świadczenie usług medycznych jako Procesor? gdzie w tej sytuacji ubezpieczyciel jest administratorem danych i powierza dane pacjentów kierowanych na badania.

    1. Łukasz Zegarek

      Dzień dobry,

      Przekazanie danych osobowych przez ubezpieczyciela do placówki medycznej, w zakresie w jakim podmiot ten świadczy usługi z zakresu medycyny pracy, ma formę udostępnienia danych osobowych. Każdy z podmiotów przetwarza te dane, jako niezależny administrator, a przetwarzanie następuje w oparciu o inną podstawę prawną przetwarzania. Tym samym, brak jest podstaw do zawarcia pomiędzy podmiotami, umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.

      Pozdrawiamy!

      1. Angelika

        Dziękuję za odpowiedź,
        jednak przedmiotem umowy nie są świadczenia z zakresu medycyny pracy tylko świadczenie usług opieki zdrowotnej dla klientów prywatnego ubezpieczyciela.

        1. Łukasz Zegarek

          Dzień dobry,

          W takim przypadku podmiot świadczący usługi medyczne również jest niezależnym Administratorem danych. Ewentualne powierzenie przetwarzania danych osobowych mogłoby mieć miejsce „w drugą stronę”, a więc ze strony Podmiotu medycznego (Administratora), który w ramach powierzenia zleca Klientowi, w tym przypadku prywatnemu ubezpieczycielowi (Procesorowi) np. czynność zbierania danych osobowych swoich klientów w sprecyzowanych w umowie celach oraz w określony przez Administratora sposób.

          Pozdrawiam!

      2. Angelika

        Dziękuję za odpowiedź, jednak w tym przypadku nie chodzi o medycynę pracy, a o świadczenie usług świadczeń medycznych dla klientów prywatnego ubezpieczyciela.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO