Czym jest RODO?
RODO (zwane również ogólnym rozporządzeniem o ochronie danych) to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Jest to rozporządzenie regulujące kwestie związane z przetwarzaniem oraz ochroną danych osobowych we wszystkich krajach Unii Europejskiej. W Polsce przepisy RODO zostały doprecyzowane w Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000). Organem właściwym powołanym w związku z wprowadzeniem RODO jest Urząd Ochrony Danych Osobowych (UODO).
Kary za naruszenie przepisów RODO
Nieprzestrzeganie przepisów RODO podlega sankcjom administracyjnym i może skutkować nałożeniem kary finansowej. Maksymalne kary są następujące:
- 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa - m.in. za naruszenie art. 5 RODO i brak spełnienia przesłanek określonych w art. 6 lub art. 9 RODO
- 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa - m.in. za naruszenie art. 32 i art. 35 RODO.
Na czym polega audyt RODO?
Obowiązek przestrzegania przepisów RODO dotyczy każdej firmy lub innego podmiotu, który przetwarza dane osób fizycznych, z wyjątkiem osób przetwarzających dane w celach domowych lub osobistych. Audyt RODO ma na celu ustalenie, czy dany podmiot przetwarza dane zgodnie z obowiązującymi przepisami, a w szczególności ogólnym rozporządzeniem o ochronie danych. Jest to niezależna ocena, która obejmuje:
- analizę przetwarzania danych w organizacji;
- rozpoznanie ewentualnych naruszeń przepisów;
- analizę opracowanej dokumentacji;
- sprawdzenie jakości zabezpieczeń (technicznych i organizacyjnych);
- wskazanie działań, które doprowadzą do poprawy zgodności z przepisami.
Audyt RODO w praktyce
Audyt RODO to rzetelna analiza sposobu przetwarzania danych osobowych w organizacji i zastosowanych środków ochrony. Audyt przeprowadzany jest na miejscu, tj. w siedzibie ocenianego podmiotu. Kontrola ma wymiar praktyczny i obejmuje m.in. obserwację stanowisk pracy oraz jakość zastosowanych zabezpieczeń fizycznych (np. szaf, w których przechowywane są dane klientów i pracowników). Ocenie podlegają również zabezpieczenia informatyczne oraz dokumentacja RODO (np. polityka ochrony danych osobowych, rejestr czynności przetwarzania). W trakcie kontroli audytor rozmawia z pracownikami organizacji, którzy odpowiadają za przetwarzanie danych bezpośrednio lub kierują działami, w których dane są przetwarzane.
Kto może przeprowadzić audyt RODO?
Audyt RODO może być przeprowadzony wewnętrznie, tj. przez pracownika organizacji, który ma odpowiednie kompetencje w tym zakresie. Pracownik dysponuje szeroką wiedzą o jednostce i specyfice jej działalności, jednak może być mniej obiektywny niż zewnętrzny audytor. Ponadto audyt przeprowadzony przez zewnętrznego specjalistę od ochrony danych osobowych często jest bardziej kompleksowy i skuteczny. Audyt zewnętrzny może być droższym rozwiązaniem. Daje jednak większą pewność, że analiza została przeprowadzona w sposób profesjonalny i zgodnie z najnowszymi wytycznymi.
Kiedy warto wykonać audyt RODO?
Przepisy RODO dotyczą każdego administratora i podmiotu przetwarzającego dane osobowe w ramach działalności. Audyt zaleca się przeprowadzić przed wdrożeniem RODO lub przed wprowadzeniem zmian do istniejących dokumentów i środków ochrony. Taką procedurę powinny przeprowadzić zwłaszcza te organizacje, które nie są pewne swojej zgodności z przepisami lub przygotowują się do kontroli UODO. Warto tutaj pamiętać, że RODO obowiązuje nie tylko przedsiębiorców. Audytu mogą wymagać również placówki oświatowe, fundacje, urzędy czy placówki medyczne.
