serwis prowadzioi

LexpressBLOG
04.02.2020

Aktualności

Audyt RODO w przedsiębiorstwie

autor: Grzegorz Gryciuk

Regulacja RODO dla przedsiębiorcy mającego statusu administratora nie nakłada wprost obowiązku przeprowadzenia audytu, a jego przeprowadzenie może wyrazem tzw. „dobrej praktyki”, a w szczególności dla wykazania realizacji poszczególnych obowiązków z tej regulacji zgodnie z tzn. „zasadą rozliczalności” (o czym  poniżej). Natomiast dla przedsiębiorcy mającego status podmiotu przetwarzającego obowiązek poddania się audytowi ze strony podmiotu mającego status administratora co do danych osobowych będących przedmiotem powierzenia wywodzony jest z art. 28 ust. 3 lit. h) (cytowanego poniżej). Stąd też najczęściej  inicjatorem audytu dla przedsiębiorcy mającego  statusu administratora będzie on sam, a dla mającego status podmiotu przetwarzającego będzie podmiot mający - co do określonych danych osobowych -  status administratora. Mogą też zaistnieć bardziej złożone relacje oparte o konstrukcje dalszego powierzenia (por. art. 28 ust. 4 RODO).

Właściwie określenie procesu przetwarzania danych oraz statusu w nim przedsiębiorcy jest przy tym jedną z podstawowych kwestii na gruncie regulacji RODO. Przedsiębiorca przetwarzając dane osobowe w danym procesie ich przetwarzania może mieć bowiem co do nich status administratora (art. 4 pkt 6) RODO) lub współadministratora (art. 26 RODO), bądź podmiotu przetwarzającego (art. 28 RODO). Przyjęcie właściwego status zależy od właściwej oceny kwestii decyzyjności (samodzielności) w zakresie ustalania celu (celów) i sposobu (sposobów) przetwarzania danych osobowych w danych okolicznościach.  Z kolei zmiana celów i sposobów ich przetwarzania może skutkować zmianą tego statusu (por. art. 28 ust 10 RODO).

Zakres audytu dla przedsiębiorcy mającego statusu administratora najczęściej jest ukierunkowany ogólnie, tj. na ocenę tzn. „zgodność z RODO” czy „stanu wdrożenia RODO” oraz sformułowanie rekomendacji w tym zakresie. W dostępnych w Internecie materiałach - udostępnianych najczęściej przez podmioty komercyjne - spotkać się można z opracowaniem różnych list kontrolnych w tym zakresie odnoszących się do realizacji poszczególnych obowiązków wynikających z regulacji RODO. Warto też zwrócić na opracowania niekomercyjne, w tym z innych krajów objętych regulacją RODO, jak np. organu nadzorczego Księstwa Lichtenstein, który udostępnił ostatnio ankietę do samooceny wdrożenia regulacji RODO (https://www.datenschutzstelle.li/aktuelles/selbstevaluation-datenschutz).

Prawidłowo określony zakres takiego audytu na pewno wymaga uwzględnienia oceny takich podstawowych kwestii, jak:

1)      zgodności przetwarzania danych osobowych z prawem – realizacji obowiązku legalnego przetwarzania danych osobowych (art. 6 RODO i art. 9 RODO),

2)      przestrzegania zasad przetwarzania danych osobowych (art. 5 RODO),

3)      określenia okresu przetwarzania danych osobowych  (art. 5 ust lit e) RODO),

4)      dopełnienie obowiązku  informacyjnego (art. 13-14 RODO) i realizacja praw osoby, której dane dotyczą (Rozdział III - art. 12-23 RODO),

5)     „przepływ” danych osobowych - powierzenia przetwarzania (art. 28 RODO), bądź udostępnienia (jako czynności przetwarzania danych osobowych w rozumieniu art. 4 pkt 2) RODO).

Szczególnej uwagi w ww. zakresie wymaga kwestia oceny przestrzegania zasad przetwarzania danych osobowych z art. 5 RODO, tj.

1)      zgodności z prawem, rzetelności i przejrzystości  (art. 5 ust. 1 lit. a) RODO),

2)      ograniczenia celu – przetwarzane danych osobowych w celu do którego zostały zebrane  (art. 5 ust. 1 lit. b) RODO),

3)      minimalizacji – adekwatności  (art. 5 ust. 1 lit. c) RODO),

4)      prawidłowości - merytorycznej poprawności  (art. 5 ust. 1 lit. d) RODO),

5)      ograniczenia przechowywania - czasowości (art. 5 ust. 1 lit. e) RODO),

6)      integralności i poufności  (art. 5 ust. 1 lit. f) RODO).

Wymagany poziom realizacji obowiązków w zakresie przestrzegania ww. zasad przetwarzania danych osobowych wyznacza tzn. „zasady rozliczalności”, określona w  Art. 5 ust. 2 RODO, zgodnie z którą:  „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).”

Natomiast zakres audytu dla przedsiębiorcy mającego statusu podmiotu przetwarzającego zależy od treści ustaleń z podmiotem mającym status administratora, z tym zastrzeżeniem, iż powinny być one zgodne z art. 28 ust. 3 lit. h). Przepis ten - w kontekście wymogów co do treści umowy lub innego instrumentu prawnego na podstawie którego może odbywać się powierzenie przetwarzania danych - stanowi: „(…) ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: (…) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.” z dodatkowym zastrzeżeniem iż w związku z tym obowiązkiem: „(…) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.” (art. 28 ust. 3 in fine).

Wskazany audyt winien dotyczyć wyłącznie danych osobowych będących przedmiotem danego powierzenia w zakresie oceny realizacji obowiązków podmiotu przetwarzającego określonych w art. 28 RODO (cyt. powyższe: (…) do wykazania spełnienia obowiązków określonych w niniejszym artykule (…)”).

W kontekście audytu warto też zwrócić na stosowanie przez administratorów w stosunku do pomiotów przetwarzających tzn. „ankiet/formularzy bezpieczeństwa” dla wykazania realizacji przez tych administratorów  obowiązku określonego w art. 28 ust. 1 RODO, tj. korzystania: „(…) wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.”

Do powyższych kwestii odniósł się również organ nadzorczy, który w publikacji: Czy administrator musi kontrolować podmiot przetwarzający?” wskazał, m.in. iż: „(…) Zgodnie z wyrażoną w art. 5 ust. 2 RODO zasadą rozliczalności, administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie. Co ważne, zasada ta ma zastosowanie zarówno do przetwarzania realizowanego samodzielnie przez administratora, jak i przetwarzania w jego imieniu przez podmiot przetwarzający. Obowiązkiem administratora jest zadbanie o to, by korzystać z usług tylko takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje – w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych, które odpowiadają wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania i chronią prawa osób, których dotyczą (art. 28 ust. 1 RODO i motyw 81 RODO). Administrator musi więc szczególnie starannie zweryfikować, czy podmiot, któremu zamierza on powierzyć przetwarzanie danych osobowych, dysponuje koniecznymi w tym celu środkami i daje odpowiednie gwarancje przestrzegania obowiązujących przepisów prawa. (…)”

 (por. ww. publikacja z 2019-10-07, https://uodo.gov.pl/pl/225/1213)

W kontekście powyższego warto wspomnieć o standardach ISO, które mogą być pomocne w realizacji ww. obowiązków. Jednakże należy mieść na względzie, iż:

1)      nie stanowią one przepisów powszechnie obowiązującego prawa i spełnienie wynikających z nich wymogów nie jest – co do zasady - przez takowe wymagane. Co do zasady gdyż np. dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa  wprowadzone zostały pewne obowiązki w zakresie  spełnienia warunków organizacyjnych do posiadania, utrzymywania i aktualizowania system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001 w zakresie obejmującym co najmniej świadczone usługi.

2)      odnoszą się zasadniczo do kwestii ochrony informacji i ryzyka naruszenia bezpieczeństwa informacji z punktu widzenia danego podmiotu (organizacji), a regulacja RODO odnosi się do kwestii ochrony danych osobowych i ryzyka naruszenia praw lub wolności osób fizycznych.

O powyższych różnicach warto pamiętać przy realizacji obowiązków wynikających z regulacji RODO, a mających związek z szacowaniem ryzyka, którego przedmiot ta regulacja w powyższy sposób określa (por. np. art. 24 ust. 1 RODO, czy art. 32 ust. 1 RODO).

Audytów dotyczy norma ISO 19011:2018, która jest warta uwagi, gdyż określa w szczególności wytyczne dotyczące prowadzenia audytów wewnętrznych oraz dokumentacji audytowej.

Grzegorz Gryciuk

Grzegorz Gryciuk

radca prawny, starszy konsultant

Masz pytanie?

Grzegorz Gryciuk

radca prawny, starszy konsultant

Starsze wpisy

Newsletter Lexpress

Zapisz się do naszego branżowego
newslettera i bądź na bieżąco!

Pozostałe wpisy

Aktualności29.09.2023

Obchodzenie zakazu handlu w niedzielę – najnowsze stanowisko Sądu Najwyższego

Aktualności31.07.2023

Implementacja Dyrektywy SUP – co dalej?

wszystkie wpisy
Kontakt
Ziemski Biznes jest częścią kancelarii
ZIEMSKI&PARTNERS
KANCELARIA PRAWNA
Kostrzewska, Kołodziejczak
i Wspólnicy sp.k.

ul. Strusia 10
60-711 Poznań

tel. +48 (61) 866-26-28
fax +48 (61) 865-82-56
ziemski@ziemski.com.pl
Ziemski Biznes
Informacje
Oferta Kredyty frankowe Blog Zespół Newsletter Kontakt Regulamin
Blog
Kompleksowa obsługa Estoński CIT Dokumentacja cen transferowych Spory sądowe Kontrakty Bezpieczeństwo podatkowe Sprawy korporacyjne
Zamówienia publiczne Prawo pracy Nieruchomości Inwestycje budowlane Gospodarka odpadami Kary Administracyjne Kredyty frankowe
Lexpress prowadzony jest przez zespół prawników ZIEMSKI&PARTNERS KANCELARIA PRAWNA Kostrzewska, Kołodziejczak i Wspólnicy sp.k. w Poznaniu.

Wydawcą Lexpress jest:
ZIEMSKI&PARTNERS Edukacja i Doradztwo sp.k.
ul. Strusia 10, 60-711 Poznań

Adres redakcji:
ul. Strusia 10, 60-711 Poznań

Redaktor naczelny:

Agata Legat

Kontakt z Redakcją możliwy jest za pomocą formularza kontaktowego.
ZIEMSKI&PARTNERS KANCELARIA PRAWNA Kostrzewska, Kołodziejczak i Wspólnicy sp.k. © Wszystkie prawa zastrzeżone