Obowiązki firm audytorskich wynikające z RODO

Należy podkreślić, że RODO nie jest rewolucją, lecz raczej ewolucją przepisów dotyczących ochrony danych. Firmy, które przestrzegały przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych oraz przepisów wykonawczych do niej nie powinny zatem mieć większych problemów z wdrożeniem RODO. W mniej korzystnej sytuacji mogą być jednak podmioty, które dopiero przystępują do budowy systemu ochrony danych.

Firmy audytorskie powinny w pierwszej kolejności dokonać inwentaryzacji swoich procesów przetwarzania danych. Chodzi tutaj o zebranie pełnej informacji o procesach, czynnościach, kategoriach danych, źródłach ich pozyskiwania, podstawach przetwarzania, wykorzystywanych systemach informatycznych, miejscach, gdzie dane są przetwarzane i sposobach zabezpieczania danych. Dopiero na podstawie inwentaryzacji możliwa będzie ocena zgodności działania firmy z przepisami RODO.

W dalszej kolejności firma audytorska powinna przeprowadzić audyt, wykazujący ewentualne niezgodności: sprawdzić, czy dane są zabezpieczone w odpowiedni sposób, przeanalizować, czy pozyskiwane są odpowiednie zgody, czy zostały podpisane odpowiednie umowy w zakresie powierzenia przetwarzania danych osobowych, czy firma ma wdrożone odpowiednie procedury i tak dalej.

Z perspektywy bezpieczeństwa danych istotnymi nowościami na gruncie RODO są: obowiązek uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz obowiązek realizowania domyślnej ochrony danych (privacy by default). Privacy by design oznacza, że na etapie projektowania urządzenia, systemu lub oprogramowania, poprzez który dochodzić będzie do przetwarzania danych osobowych, należy uwzględniać potrzebę zapewnienia ochrony danym osobowym, wdrażając w tym celu odpowiednie środki techniczne i organizacyjne. Z kolei privacy by default oznacza, że obowiązkiem administratora danych jest wdrożenie takich środków technicznych i organizacyjnych, które zapewnią, aby domyślnie zbierane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu. Stosowanie tego obowiązku ograniczyć ma ilość zbieranych danych, zakres ich przetwarzania, okres przechowywania oraz ich dostępność.

Firmy audytorskie powinny także rozważyć, czy powołać Administratora Bezpieczeństwa Informacji (po wejściu w życie RODO zwanego Inspektorem Ochrony Danych – IOD). Sytuacje, w których wyznaczenie IOD jest obowiązkowe zostały wymienione w art. 37 ust. 1 RODO:

• gdy przetwarzania dokonują organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
• gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W przepisach unijnego rozporządzenia zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30 RODO, przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych.

Kolejnym punktem, który powinny rozważyć firmy audytorskie, jest możliwość przeprowadzenia oceny skutków przetwarzania danych osobowych (DPIA), uregulowana w art. 35 RODO. Należy zaznaczyć, że przepis ten nie wymaga dokonywania DPIA w przypadku każdej operacji przetwarzania danych osobowych, która może powodować ryzyko naruszenia praw lub wolności osób fizycznych. Dokonanie DPIA jest obowiązkowe tylko wówczas, gdy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Należy również pamiętać, że za nieprzestrzeganie przepisów związanych z ochroną danych osobowych RODO przewiduje surowe kary – nawet do 20 mln euro. Wdrożenie odpowiedniego systemu ochrony danych w firmie pozwoli ich uniknąć.

Co istotne, opisane powyżej kwestie nie wyczerpują listy zagadnień związanych z wdrożeniem RODO. Stanowią jedynie podstawę do przeprowadzenia analizy, na jakim etapie budowy systemu ochrony danych osobowych znajduje się firma.