Jak przeprowadzić audyt      RODO?

Ostatnio w artykule „Czy muszę wdrożyć RODO” pisałam o tym czy powinieneś wdrożyć RODO oraz dlaczego jest to ważne.

W ramach bezpłatnych konsultacji wiele osób pytało mnie o to, czy mogą RODO wdrożyć samodzielnie.

Jak najbardziej jest to możliwe. Zlecenie wdrożenia RODO kancelarii czy innej firmie zewnętrznej ma miejsce zwykle wtedy gdy np. właściciel firmy czy pracownik nie posiada wiedzy z zakresu ochrony danych osobowych albo czasu, na to, żeby tę wiedzę zdobyć. Między innymi dla tych osób, które chciałyby dostosować swoje firmy do RODO „na własną rękę”, Ministerstwo Cyfryzacji, Urząd Ochrony Danych czy inne podmioty przygotowały szereg wskazówek, jak to zrobić.

W dzisiejszym artykule będzie krótko o tym: JAK SAMODZIELNIE WDROŻYĆ RODO cz. 1:

I.

PRZEPROWADŹ AUDYT

Tu pojawia się pytanie o to, co należy sprawdzić w ramach audytu. Audyt obejmuje wiele różnych przestrzeni, ale poniżej podam kilka wskazówek, które możecie wykorzystać:

Wskazówka :

Zacznij od sprawdzenia KOGO DANE POSIADASZ , tzn. sprawdź czy posiadasz dane Klientów, pracowników, użytkowników Twojej strony. Następnie wypisz sobie JAKIE DANE zbierasz w ramach tych konkretnych grup.

Jeśli już wiesz, to oceń – w jakim CELu te dane zbierasz i czy rodzaj danych, który zbierasz jest ci do tego celu niezbędny. Później zweryfikuj co jest PODSTAWĄ PRAWNĄ przetwarzania tych danych, (tj. czy np. posiadasz te dane z tego względu, że łączy się umowa z tą osobą? masz obowiązek przechowywania faktur? posiadasz zgodę?)

Wypisz sobie także:

1. wszystkie FORMY , lokalizacje, gdzie dane występują, np. programy/aplikacje, kartoteki – żebyś mógł w dalszych krokach ocenić, czy należycie dane te zabezpieczasz.
2. OSOBY ( lub przynajmniej kategorie osób), które mają dostęp do danych. Sprawdź, czy posiadają one stosowne upoważnienia lub została zawarta z nimi umowa powierzenia danych.

II.

Na dalszym etapie, zlokalizuj wszystkie ZABEZPIECZENIA stosowane względem posiadanych danych (np. zabezpieczeniem może być to, że pomieszczenia posiadają zamykane drzwi na klucz albo, że posiadasz wideodomofon, który pozwala na kontrolę dostępu do siedziby osób nieupoważnionych; opisz jak zabezpieczone są stacje robocze czy laptopy, czy posiadasz w firmie jakieś procedury zabezpieczające sposób „posługiwania się” danymi”.

III.

To co ja zwykle robię u swoich Klientów, to analiza sytuacji, w których powinno dojść do podpisania umowy powierzenia przetwarzania. Przy okazji opiniuję także już podpisane umowy pod kątem ich zgodności z RODO. Jeśli samodzielnie będziesz przeprowadzał wdrożenie, odsyłam Cię w tym miejscu do art. 28 RODO, gdzie znajdziesz elementy, które taka umowa powinna zawierać. Bez tego przepisu nie ruszysz dalej.

Upewnij się, czy na pewno przeanalizowałeś wszystkie obszary pod kątem konieczności zawarcia umowy powierzenia . Czy wiesz, że korzystanie z takich aplikacji/programów/chmury jak np. Dropbox wymaga umowy powierzenia? Czy wiesz, że przechowywanie danych osobowych Klientów/pracowników na poczcie wymaga zawarcia umowy powierzenia z dostawcą poczty/hostingu? Jest wiele miejsc, gdzie taka umowa będzie niezbędna, dlatego też powinieneś bardzo dokładnie zaudytować swoją firmę pod tym kątem.

IV.

Koniecznie musisz także sprawdzić, czy w jakimkolwiek przypadku dochodzi do przekazywania danych do Państw trzecich, tj. poza UE/EOG . Przykład, zweryfikuj, gdzie Twoi dostawcy usług posiadają siedzibę. Jeśli już to sprawdzisz, przeanalizuj co jest podstawą przekazania danych do tych Państwa. Nie zawsze będzie to możliwe. Informacja o przekazaniu danych będzie konieczna do prawidłowego przygotowania klauzul informacyjnych.

V.

Obowiązkowo, musisz przeprowadzić także audyt strony www z uwzględnieniem tego wszystkiego o czym pisałam wyżej.

 

W dzisiejszym wpisie to tyle. Kolejne będą o analizie ryzyka i dokumentacji.