Blog

RODO: Audyt przetwarzania danych osobowych – czy jest potrzebny?

28 października 2017
Marzena Hełmecka
Blog, Ochrona danych osobowych

RODO: Audyt przetwarzania danych osobowych – czy jest potrzebny?

Audyt bezpieczeństwa informacji od wielu lat stanowi ofertę wyspecjalizowanych podmiotów, która ma zapewnić wykrycie wszelkich nieprawidłowości i luk w zabezpieczeniach przy przechowywaniu danych.

Oferta ta dotyczy głównie bezpieczeństwa informacji z naciskiem na zagadnienia IT, takie jak np. ochrona antywirusowa, antyspamowa, systemy odzyskiwania danych cyfrowych czy awaryjnego zasilania. Jednak z związku z rewolucją w zakresie ochrony danych osobowych, spowodowaną nowym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., które zacznie obowiązywać od  25 maja 2018 roku, na znaczeniu zyskuje także audyt mający stwierdzić, czy przetwarzanie przez przedsiębiorcę danych osobowych spełnia wszelkie wymagane prawem standardy. W przeciwnym wypadku przedsiębiorca naraża się bowiem na spore kary finansowe.

Należy jednak zaznaczyć, że przeprowadzenie takiego audytu nie jest obowiązkiem wynikającym z przepisów. Sam audyt RODO nie spowoduje automatycznego dostosowania procedur obowiązujących u danego przedsiębiorcy w zakresie przetwarzania danych osobowych do standardów wyznaczonych przez nowe przepisy. Jednak obowiązkiem podmiotów przetwarzających dane jest czuwanie nad zgodnym z prawem przetwarzaniem danych osobowych i właściwą organizacją bezpieczeństwa informacji. Można więc przy tym skorzystać z audytu.

Preambuła nowego rozporządzenia wskazuje, że przetwarzanie, które w dniu rozpoczęcia stosowania jego przepisów już się toczy, powinno w terminie dwóch lat od wejścia nowego rozporządzenia w życie (RODO weszło w życie 24.05.2017 r., natomiast ma zastosowanie od 25 maja 2018 r.) zostać dostosowane do jego przepisów. Zgodnie z komunikatem Generalnego Inspektora Danych Osobowych z dnia 30.05.2017 r. [1] oznacza to, że należy jak najwcześniej dokonać przeglądu i weryfikacji stosowanych dotychczas rozwiązań z zakresu ochrony danych osobowych. GIODO zaleca, żeby jeszcze zanim będziemy stosować rozporządzenie, dokonać audytu przygotowawczego i udokumentować, jakie dane osobowe są przetwarzane, skąd pochodzą, co uprawnia do ich wykorzystywania, czy i komu będą udostępniane oraz jak są zabezpieczane.

Rzetelnie przeprowadzona analiza wszystkich operacji przetwarzania danych będzie pierwszym krokiem do utworzenia i poprowadzenia rejestru czynności przetwarzania, który będzie obowiązkowy dla wielu przedsiębiorców (zwłaszcza dla zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają dane wrażliwe).

Taki audyt ma również pomóc w aktualizacji wszystkich przetwarzanych danych i uporządkowaniu dokumentacji oraz procedur. Prawidłowo przeprowadzony audyt pomoże także w realizacji zasady rozliczalności, która wymaga, by każdy, kto przetwarza dane osobowe, był w stanie wykazać, że robi to w zgodzie z zasadami przyjętymi w rozporządzeniu.

Podsumowując, nowe przepisy nie wprowadzają obowiązku przeprowadzenia audytu przetwarzania danych osobowych w związku z ich wejściem w życie, jednak ze względu na obszerność i rewolucyjność zmian (jest to pierwsza tak duża reforma od 20 lat), warto rozważyć jego przeprowadzenie.

[1] https://www.giodo.gov.pl/pl/1520281/10004, dostęp 23.10.2017 r., godz. 09:00

Szymon Goździk
Prawnik