Audyt RODO – nie tylko wdrożeniowy, również cykliczny

« Aktualności 09 września 2020

Spełnianie wymagań dotyczących przetwarzania danych osobowych wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”) polega przede wszystkim na pierwotnym przygotowaniu audytu wdrożeniowego uwzględniającego istniejące wymagania prawne dotyczące ochrony danych osobowych oraz stworzeniu na jego podstawie odpowiednich dokumentów. Istotnym jednak jest również dokonywanie cyklicznej weryfikacji zgodności pierwotnych dokumentów z obowiązującymi realiami prawnymi i technicznymi.  Obowiązek regularnego sprawdzania zapewniania odpowiedniego stopnia bezpieczeństwa i zgodności przetwarzania danych osobowych z obowiązującymi regulacjami wynika wprost z przepisów ogólnego rozporządzenia o ochronie danych osobowych (dalej: „RODO”): art. 24 ust. 1 oraz art. 32 ust. 1 lit. d. Taki przegląd powinien odbywać się cyklicznie, aby utrzymać zgodność przetwarzania danych osobowych z aktualnym stanem prawnym i technicznym , upewnić się, że nie istnieją żadne błędne lub nieaktualne zapisy w dokumentach dotyczących ochrony danych osobowych oraz jak wynika wprost z motywu 39 preambuły, aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne. Przy dokonywaniu przeglądu, warto zwrócić uwagę na takie czynniki jak: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, które nierzadko ulegają zmianie, a zgodnie z przepisami RODO powinny być zawsze uwzględniane przy przetwarzaniu danych oraz aktualizowane. Dokonywanie audytu jest przede wszystkim środkiem sprawdzenia zgodności przetwarzania danych osobowych z zasadami określonymi w art. 5 RODO .W tym zakresie podczas przeprowadzania przeglądu powinniśmy sprawdzić, czy przetwarzanie i przechowywanie danych osobowych :

- nie trwa dłużej niż wynika to z art. 5 ust. 1  lit. e  (zasada ograniczonego przetwarzania danych)

- dotyczy jedynie sprawdzonych pod względem prawidłowości i aktualności danych (art. 5 ust. 1 lit. d)

- odbywa się zgodnie z zasadą minimalizmu tzn. adekwatnie do celów przetwarzania (art. 5 ust.1 lit. c)

- jest zgodne z obowiązującym prawem (art. 5 ust. 1 lit. a)

- zgodnie z zasadą integralności i poufności tzn. w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust.1 lit f)

Ponadto, warto zwrócić uwagę na: zgodność przetwarzania z prawem zgodnie z art. 6, zapewnianie  praw osób, których dane dotyczą, zgodnie z art. 12-23; obowiązek ochrony danych w fazie projektowania oraz domyślnej ochrony danych, zgodnie z art. 25; środki techniczne i organizacyjne ustanowione zgodnie z art. 32.

Sprawdzenie tych informacji będzie z pewnością najistotniejsze, jednak nie możemy zapomnieć również o zweryfikowaniu innych obowiązków wynikających z unijnego rozporządzenia.

Zlecenie dokonania audytu cyklicznego podmiotowi zewnętrznemu polecamy wszystkim podmiotom przetwarzającym dane osobowe. Audytor podczas przeglądu może ustalić błędy lub luki, które istniały już w momencie wdrażania procedur dotyczących danych osobowych w prowadzonej działalności, a także wskazać na nowe, aktualne wymagania prawne i technologiczne oraz zaproponować inne niż dotychczas stosowane rozwiązania zapewnienia wyższego stopnia ochrony danych.

Regularne dokonywanie audytu z pewnością pomoże zapobiec zbyt długiemu przechowywaniu lub przetwarzaniu danych oraz służyć dostosowaniu adekwatności tych procesów do aktualnych celów przetwarzania oraz dokonywaniu ich, w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych oraz zgodność z aktualnymi przepisami prawa, zaleceniami EROD oraz UODO.

Diana Puczkowska

r.pr. Justyna Matuszak-Leśny, LL.M.

   Nasza strona używa plików cookies. Pliki cookies wykorzystujemy w celu umożliwienia prawidłowego działania naszej strony internetowej oraz w celu prowadzenia anonimowych statystyk i innych działań analitycznych przedstawiających sposób korzystania ze strony internetowej przez użytkowników. Dalsze korzystanie ze strony internetowej oznacza zgodę na ich zapis lub wykorzystanie. Użytkownik może samodzielnie dokonać zmiany warunków przechowywania plików cookies w przeglądarce internetowej, z której korzysta.

Więcej informacji, w szczególności dotyczących przetwarzania danych osobowych, znajduje się w Polityce prywatności dostępnej tu.