„…Nieco Innym rodzajem sprawdzenia jest okresowe sprawdzenie przeprowadzane dla administratora danych. Jest to bardziej forma audytu, gdyż nie jest ono przeprowadzane w wyniku powstania jakiegoś zdarzenia, a w celu okresowej weryfikacji stanu ochrony danych osobowych w organizacji. Samo sprawdzenie jest poprzedzone przygotowaniem i przedstawieniem administratorowi danych planu sprawdzeń obejmującego okres nie krótszy niż kwartał i nie dłuższy niż rok. Przygotowanie planu sprawdzeń może nastręczać sporo problemów dla ABI, który nigdy wcześniej tego nie robił tym bardziej, że zakres planu sprawdzeń został dość szczegółowo opisany przez ustawodawcę. Przepisy rozporządzenia określają konieczność uwzględnienia następujących aspektów przetwarzania danych osobowych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
(W celu pełniejszego zobrazowania nowego wymogu prawa wobec ABI, udostępniamy przykładowy szablon planu sprawdzeń do pobrania.)
Po pierwsze podstawy prawne przetwarzania danych osobowych, czyli zapewnienie istnienia co najmniej jednej podstawy prawnej przetwarzania dla każdego z wyodrębnionych zbiorów danych osobowych. Wobec danych osobowych tzw. zwykłych będzie to jedna z przesłanek wskazanych w art. 23 Ustawy, tj.: zgoda osoby, której dane dotyczą, przepis prawa pozwalający na przetwarzanie danych osobowych, przetwarzanie odbywające się w celu realizacji umowy, przetwarzanie prowadzone w zakresie realizacji celu publicznego oraz tzw. uzasadniony cel administratora danych osobowych. Z drugiej strony w stosunku do danych osobowych tzw. wrażliwych najczęściej występujące podstawy prawne spośród dziesięciu możliwych to zgoda osoby, której dane dotyczą wyrażona na piśmie oraz przepis powszechnie obowiązującego prawa.
Po drugie realizacja obowiązku informacyjnego z jednej strony wobec osób od których dane osobowe są pobierane bezpośrednio oraz wobec osób, których dane pochodzą z innego źródła. Jest to element sprawdzenia, który polega na weryfikacji faktycznego spełnienia obowiązku informacyjnego w dokumentach, na stronach internetowych w treści wiadomości wysyłanych drogą elektroniczną oraz wszelkich innych miejscach gdy dane są pozyskiwane do dalszego przetwarzania.
Po trzecie weryfikacja spełnienia zasad ogólnych ochrony danych osobowych, czyli zasady legalności, celowości, adekwatności, merytorycznej poprawności oraz ograniczenia czasowego. Zasady te w praktyce podlegają sprawdzeniu na każdym etapie przetwarzania danych osobowych, więc powinny one być weryfikowane w trakcie każdej czynności określonej w planie sprawdzeń.
Po czwarte będzie to weryfikacja procesu przekazywania danych osobowych poza organizację, czyli element związany z umowami powierzenia przetwarzania danych osobowych oraz zakresem kontroli ich działań.
Po piąte konieczność umieszczenia w planie sprawdzeń procesu związanego z realizacją praw osób, których dane dotyczą. W praktyce sprawdzamy, czy jest przewidziana procedura na udostępnianie osobie, której dane dotyczą wszelkich danych gromadzonych na jej temat w zrozumiałej dla niej formie. Dodatkowo czy uwzględnia się żądania osób, których dane dotyczą co do wniesienie przez nie żądania zaprzestania przetwarzania danych osobowych oraz wniesienia sprzeciwu wobec przetwarzania w celach handlowych lub udostępniania danych podmiotom trzecim.
Po szóste plan sprawdzeń musi obejmować zabezpieczenia danych osobowych. Sprawdzenia te obejmują pełen zakres stosowanych zabezpieczeń fizycznych, organizacyjnych i informatycznych opisanych w dokumentacji ochrony danych osobowych. W ramach tego elementu sprawdzenia należy przede wszystkim zweryfikować czy wszystkie osoby przetwarzające dane osobowe posiadają upoważnienia do ich przetwarzania oraz czy ewidencja tych osób jest aktualna. Dodatkowo czy cała dokumentacja ochrony danych osobowych po pierwsze odzwierciedla stan faktyczny oraz czy jej zawartość jest zgodna z przepisami prawa.
Po siódme plan sprawdzeń musi obejmować procesy związane z przekazywaniem danych osobowych do państw trzecich, czyli poza europejski obszar gospodarczy. Tutaj oczywiście sprawa jest bardzo prosta, gdy takiego procesu nie ma, jednak gdy się pojawi należy zweryfikować jego legalność. Tutaj mogą się pojawić dwa aspekty. Z jednej strony konieczność uzyskania zgody GIODO na przesył danych do Państwa trzeciego pod warunkiem zastosowania co najmniej takich samych zabezpieczeń danych po stronie docelowej, a z drugiej strony możliwość uregulowania kwestii przesyłu tzw. standardowymi klauzulami umownymi zatwierdzonymi przez Komisję europejską lub alternatywnie wiążącymi regułami korporacyjnymi (BCR) już wcześniej zatwierdzonymi przez GIODO w drodze decyzji administracyjnej.
Też wolisz profilaktykę niż leczenie?
Ostatecznie weryfikacji w ramach planu sprawdzeń podlega również obowiązek rejestracji zbiorów danych osobowych tzw. „wrażliwych” jeżeli nie zachodzi żadne wyłączenie spod tego obowiązku w katalogu wyłączeń przewidzianym ustawą. Jak również aktualność informacji zawartych w już zarejestrowanym zbiorze danych osobowych ujawnionym w rejestrze prowadzonym przez GIDOO.
Podsumowując plan sprawdzeń musi zostać przygotowany i przedstawiony administratorowi danych co najmniej na 14 dni przed pierwszą czynnością objętą tym planem. Sam plan musi zawierać co najmniej jedno sprawdzenie, a systemy informatyczne w ramach sprawdzenia zabezpieczeń informatycznych muszą być weryfikowana nie rzadziej niż raz na 5 lat. Dodatkowo kierownik jednostki organizacyjnej w ramach, której ma być przeprowadzane sprawdzenie musi zostać poinformowany przez ABI na co najmniej 7 dni przed sprawdzeniem.
W związku z bardzo dużym zakresem planu sprawdzeń w praktyce warto przewidzieć co najmniej trzy sprawdzenia w ciągu roku, jeżeli określimy tylko jedno będzie ono bardzo czasochłonne i w praktyce najczęściej pobieżne. Dobrą praktyką jest dzielenie zakresu sprawdzeń na sprawdzenia obejmujące procesy związane z danymi osobowymi, czyli jak realizowane są obowiązki wynikające z przepisów prawa i wewnętrznej dokumentacji, dokumentację ochrony danych osobowych w tym również aktualność zbiorów zarejestrowanych w GIODO jak i zawarte umowy powierzenia przetwarzania danych osobowych i ostatecznie zabezpieczenia informatyczne funkcjonujące w systemach informatycznych przetwarzających te dane. Jak pokazuje praktyka przeprowadzenie wszystkich działań jednocześnie znacznie utrudnia przygotowanie sprawozdania z poszczególnych działań. Z drugiej strony oczywiście jeżeli nadzorowana organizacja jest nie wielka sztuczne dzielenie sprawdzeń może mijać się z celem jakim jest przeprowadzenie sprawdzeń w sposób jak najmniej uciążliwy dla samej organizacji…”
Więcej rozważań w tym zakresie oraz szablony dokumentów znajdują się w książce pt. „Ochrona danych osobowych - praktyczny komentarz, wzorcowa dokumentacja” mojego autorstwa.