Będziesz inspektorem ochrony danych? Sprawdź, jak skutecznie monitorować przestrzeganie RODO

W celu monitorowania przestrzegania ogólnego rozporządzenia o ochronie danych (RODO), krajowych przepisów i polityk obowiązujących u administratora inspektorzy ochrony danych (IOD) mogą korzystać ze swoich dotychczasowych doświadczeń. Obowiązek zapewnienia zgodności przetwarzanych danych z przepisami prawa nie jest niczym nowym dla administratora (ADO), administratora bezpieczeństwa informacji (ABI) i IOD. Obecni ABI, dzięki zmianom w ustawie o ochronie danych osobowych po 1 stycznia 2015 r., mają już stosowne doświadczenie m.in. dzięki wykonywaniu zadań określonych w art. 36a ust 2 pkt 1 lit. a–c ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (uodo):

Na podstawie RODO obowiązek monitorowania przestrzegania przepisów oraz polityk ADO spoczywa na IOD i został wskazany w art. 39 ust. 1 lit. b („monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty”). Należy pamiętać, że proces monitorowania, a właściwie raporty sporządzone po przeprowadzonych kontrolach, ma zapewnić administratorowi oraz podmiotowi przetwarzającemu, wiedzę na temat ewentualnych niezgodności i ryzyk związanych z przetwarzaniem danych osobowych.

RODO nie definiuje wprost tego, czym w praktyce są polityki administratora. Należy zatem sięgnąć do art. 24 ust. 1 oraz 2 RODO. Zgodnie z tymi przepisami, ADO ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO. Następnie ADO ocenia, czy te środki, w odniesieniu do zasady proporcjonalności, wymagają wdrożenia odpowiednich polityk. Zgodnie z motywem 78 RODO polityki mają służyć wykazaniu przez ADO przestrzegania przepisów RODO oraz zapewnianiu przetwarzania danych zgodnie z zasadą privacy by design i privacy by default. Politykami mogą być również wiążące reguły korporacyjne, kodeks branżowy oraz inne regulacje czy też procedury, które obligują ADO do ich stosowania.

Tak, ale pod pewnymi warunkami.

Pierwszym z nich jest ocena faktycznej użyteczności takiej dokumentacji. Należy pamiętać, że zgodnie z RODO polityki nie są obowiązkowe. Można znaleźć takie polityki i instrukcje zarządzania systemem informatycznym, które nie odpowiadają wymogom obecnie obowiązujących przepisów, są ubogie, zbyt ogólne, nie zawierają wszystkich elementów. W takiej sytuacji właściwsze będzie przygotowanie dokumentu dedykowanego RODO.

Jeżeli jednak administrator dysponuje dobrze i rzetelnie przygotowaną dokumentacją, powinien zweryfikować kolejne elementy. I tutaj jako drugim warunek trzeba wskazać, że dotychczas stosowana dokumentacja była tworzona zgodnie z art. 36 ust. 2 uodo oraz rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Natomiast RODO daje znacznie większą swobodę w kształtowaniu wewnętrznego systemu bezpieczeństwa przez ADO. Dlatego też dokumentacja wytworzona przez ADO przed 25 maja 2018 r. wymaga aktualizacji pod kątem analizy ryzyka naruszenia praw i wolności osób fizycznych, jak również uwzględnienia w niej celu, kontekstu, zakresu i charakteru przetwarzania.

Polityka zgodna z RODO nie powinna koncentrować się tylko na kwestiach bezpieczeństwa w odniesieniu do naruszenia (tj. same mechanizmy zabezpieczeń). Aby była dokumentem kompletnym i spójnym, musi regulować też wiele dodatkowych obszarów związanych z przetwarzaniem danych osobowych. Można tu wskazać zasady:

• doboru i kontroli dostawców ADO,
• związane z informowaniem IOD o wdrażaniu nowych procesów i nowych czynności przetwarzania,
• szkolenia pracowników,
• wykonywania praw osób fizycznych określonych w rozdziale III RODO,
• usuwania danych i okresy przedawnienia.

Polityka powinna zawierać odwołania do funkcji samego IOD i jego uprawnienia (np. wykonywanie obowiązków wynikających z art. 39 RODO). Oczywiście poziom szczegółowości dokumentu i częstotliwości odesłań do innych aktów normatywnych obowiązujących u administratora zależą od specyfiki danej firmy.

Inspektor ochrony danych musi mieć zapewnioną niezależność. Ciężko będzie mu bowiem weryfikować, czy dane są przetwarzane zgodnie z prawem, jeżeli nie będzie mieć stosownego umocowania w wewnętrznych aktach normatywnych ADO, które zapewnią mu możliwość wykonywania kontroli w innych jednostkach. Dotyczy to zarówno IOD, który jest pracownikiem administratora, jak i IOD zewnętrznego. Aby uniknąć konfliktów wewnątrz jednostek organizacyjnych ADO, trzeba zdefiniować czynności, jakie IOD może i powinien wykonywać w ramach monitorowania. Grupa Robocza Art. 29 wskazuje np. doradzanie, informowanie, wydawanie rekomendacji administratorowi, ale również zbieranie informacji na temat toczących się procesów, ich analizę i badanie zgodności z wewnętrznymi procedurami oraz z prawem.

Nie bez znaczenia w pracy IOD są działania związane ze szkoleniem i podnoszeniem świadomości i wiedzy pracowników ADO. Niestety wciąż najsłabszym ogniwem systemu bezpieczeństwa jest człowiek, stąd konieczność, aby IOD miał wiedzę i kontrolę nad szkoleniami pracowników. Bardzo przydatne będą zatem wszelkie inicjatywy IOD organizowane u administratora związane z ochroną danych. Przykładem mogą być newslettery kierowane do pracowników, dedykowana strona w intranecie, czy nawet dni ochrony danych. Tego typu działania, które pozwalają na budowanie świadomości i wiedzy pracowników, to jednocześnie dobra okazja dla IOD, aby podkreślać swoją obecność i rolę w firmie.

Należy zaznaczyć, że wszelkie działania promujące ochronę danych u ADO, budowanie świadomości pracowników powinny odbywać się przy aktywnym współudziale administratora. Pozwoli to umocnić rolę IOD w oczach innych pracowników. Widoczność IOD w firmie jest niezwykle istotna, ponieważ pracownicy muszą wiedzieć, w jaki sposób łatwo się z nim skontaktować w razie pytań, wątpliwości bądź problemów związanych z przetwarzaniem danych osobowych w codziennej pracy.

Jednym z elementów monitorowania jest podział obowiązków w firmie. Punkt ten wydaje się oczywisty, niemniej jednak ze względu na jego wagę, warto go podkreślić. Z prawidłowo zdefiniowanym podziałem obowiązków w firmie ściśle łączą się następujące elementy:

a) prawidłowe przypisanie uprawnień pracowników w systemach,

b) nadawanie upoważnień do przetwarzania danych i możliwości sprawowania efektywnej kontroli w związku z przetwarzaniem danych,

c) lepsza kontrola i zapewnienie bezpieczeństwa przetwarzania danych,

d) przejrzystość w wykazaniu prawidłowego sprawowania funkcji IOD,

e) określenie, kto jest właścicielem danych na poszczególnych etapach procesów,

f) łatwość w uzyskiwaniu przez IOD informacji np. na temat celów i podstaw prawnych przetwarzania danych.

Prawidłowy podział obowiązków u administratora pozwala również wykazać rozliczalność wymaganą art. 5 ust. 2 RODO.

ABI, którzy staną się inspektorami ochrony danych, będą mogli sięgnąć do swoich doświadczeń zdobytych w związku z wykonywaniem sprawdzeń oraz sprawozdań dla administratora danych. Oczywiście RODO nie wskazuje terminów oraz trybu, w jakim monitorowanie ma się odbywać, dlatego też sięgnięcie do dotychczasowych doświadczeń ABI będzie dobrym punktem wyjścia.

IOD powinien zatem mieć ustalony plan monitorowania jednostek znajdujących się w strukturze danej firmy. Oczywiście będą spółki, które w całości będą podlegały monitorowaniu ze względu na rozbudowane procesy przetwarzania danych, ale można wskazać i takie podmioty, w których styczność z danymi dotyczy tylko niektórych obszarów. Niezależnie od tego, z jakim scenariuszem IOD przyjdzie się zmierzyć, musi uwzględnić zakres, cel, kontekst i rodzaj danych, jakie są w danym procesie przetwarzane.

Następnie na podstawie swojej wiedzy zaczerpniętej np. z rejestru czynności przetwarzania, IOD powinien określić te obszary w firmie, które wymagają kontroli. Na podstawie tego, jakie dane są przetwarzane, jakie jest ryzyko związane z wystąpieniem incydentu naruszenia bezpieczeństwa, konieczne jest wskazanie częstotliwości kontroli.

IOD powinien przygotować harmonogram przeprowadzania monitorowania u administratora. RODO nie wymaga uzyskania akceptacji administratora (co mogłoby stanowić podważenie zasady niezależności IOD) dla opracowanego kalendarza audytów, kontroli, niemniej jednak informację o planowanych działaniach inspektora warto przekazać administratorowi. Na podstawie harmonogramu kontroli oraz procesów przetwarzania danych, IOD powinien określić, co dokładnie będzie chciał zweryfikować w danej jednostce.

Z pewnością należy uwzględnić wszystkie regulacje, jakie w sprawdzanym obszarze regulują zasady przetwarzania danych osobowych. IOD musi ocenić, czy regulaminy, procedury, zarządzenia bądź inne akty normatywne administratora zawierają niezbędne zapisy i co ważne, czy pracownicy mają praktyczną wiedzę o tym, jak procedurę stosować i czy ją stosują. Jeżeli w procedurze mamy opisane zasady tzw. czystego biurka, które pracownicy są w stanie doskonale opisać, potwierdzając tym samym ich zrozumienie, a mimo to nie stosują się do nich, jest to jasny sygnał dla IOD, że jest to obszar wymagający pilnej zmiany.

Innym przykładem może być wręczanie osobom fizycznym klauzuli informacyjnej. IOD powinien zweryfikować, czy w zakresie wykonywania obowiązku informacyjnego określonego w art. 13 i 14 RODO administrator jest zgodny z przepisami. Procedura może nakładać na pracownika obowiązek wręczania lub wysłania dokumentu. Jeżeli jednak nie jest wykonywana ta czynność, wówczas administrator jest narażony na sankcje wynikające z RODO.

Poza oceną zgodności dokumentów IOD powinien sprawdzić, jak w praktyce wygląda codzienna praca jednostki i jak w praktyce dane są przetwarzane. Na to będą się składały informacje o systemach, z którymi ściśle są powiązane umowy z dostawcami, kwestia transferu danych poza Europejski Obszar Gospodarczy, jak i zasady usuwania danych czy realizacja praw podmiotów danych.

Przeprowadzona weryfikacja danego obszaru zawsze powinna zakończyć się raportem opracowanym przez IOD, który zostanie udostępniony administratorowi danych. Planując kontrolę w jednostkach, IOD musi pamiętać, że za samym zaleceniem zmiany powinny iść wdrożenia poprawek określone harmonogramem. Końcowym etapem powinna być ponowny weryfikacja wdrożenia rekomendacji IOD.

W celu wzmocnienia zasady rozliczalności administrator może wprowadzić dodatkowe kontrole procesów, które są kluczowe. Bardzo często będą to tez procesy związane z największym ryzykiem przetwarzania danych w danej organizacji. I tutaj również można przyjąć różne podejście, tj. wykazać procesy ważne dla firmy albo dla poszczególnych obszarów. Sugestia, jak taki proces kontrolny ustalić, może, a nawet powinna być przekazana przez IOD administratorowi.

IOD jest osobą, która ma największą wiedzę na temat procesów i odpowiednie narzędzia do tego, aby diagnozować i analizować sytuację związaną z przetwarzaniem danych osobowych. Takim narzędziem będzie rejestr czynności przetwarzania, ale również uczestnictwo IOD w procesie oceny skutków dla ochrony danych. Wydając odpowiednią rekomendację w zakresie ustalenia procesów kluczowych, IOD musi zawsze uwzględniać elementy ryzyka przetwarzania danych związane z konkretnymi danymi i celem ich przetwarzania. Należy wskazać, że same kontrole procesów ustalały jednostki, nie zaś IOD. Wynika to z tego, że IOD nie powinien sam siebie w tym zakresie weryfikować. Powinien natomiast zbadać, czy mechanizmy kontrole są faktycznie prawidłowo dobrane do poziomu ryzyka związanego z przetwarzaniem danych osobowych.

W procesie kontroli wykonywanej przez IOD można umieścić także kontrole wykonywane u dostawców i poddostawców. Taka weryfikacja powinna objąć samą umowę oraz wizytę na miejscu w celu sprawdzenia, czy faktycznie postanowienia umowne są realizowane. Wskazać tutaj należy, że przy dużych organizacjach, które korzystają z dużej liczby dostawców, plan przeprowadzanych u nich kontroli powinien stanowić odrębny dokument, zazębiający się z harmonogramem kontroli ADO.