Audyt RODO

Oferujemy świadczenie usług w zakresie ochrony danych osobowych, a w szczególności przeprowadzamy audyty celem wsparcia klientów w dostosowaniu dokumentacji oraz praktyk do rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. Przygotowujemy w szczególności procedury zarządzania systemem informatycznym oraz rejestry czynności przetwarzania danych osobowych.

Przetwarzanie danych osobowych według RODO

Danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (imię i nazwisko, numer telefonu, adres e-mail, adres korespondencyjny, itp.). Przetwarzaniem danych osobowych jest operacja lub zestaw operacji wykonywanych na danych osobowych (zbieranie, przechowywanie, przeglądanie, wykorzystywanie itp.).

Prawa i obowiązki na gruncie RODO

RODO jest aktem wewnętrznym Unii Europejskiej regulującym swobodę przepływu danych osobowych oraz ich ochronę. RODO wprowadza m.in. nowe obowiązki nałożone na administratorów danych, przyznaje uprawnienia osobom, których dane dotyczą oraz określa  nową dokumentację, którą administratorzy i podmioty przetwarzające winni wdrożyć celem wypełnienia postanowień RODO.

Obowiązki administratora danych osobowych i podmiotu przetwarzającego

W świetle RODO administratorem danych osobowych jest podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych przez siebie posiadanych. RODO nie wskazuje jednak czym jest ustalanie celów oraz sposobów przetwarzania danych osobowych. To, czy dany podmiot jest administratorem będzie zatem uzależnione każdorazowo od konkretnego stanu faktycznego.

Do obowiązków administratora danych osobowych należy m. in.:

  1. wdrażanie odpowiednich środków technicznych i organizacyjnych celem przetwarzania danych osobowych przez siebie posiadanych zgodnie z przepisami RODO;
  2. powołanie inspektora ochrony danych osobowych;
  3. wykonywanie praw osób, których dane dotyczą – na ich żądanie;
  4. prowadzenie rejestru czynności przetwarzania danych osobowych oraz
  5. przeprowadzenie analizy ryzyka naruszenia danych osobowych.

Do obowiązków podmiotu przetwarzającego należy m. in. prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. Podmiotem przetwarzającym jest natomiast podmiot, który przetwarza dane osobowe w imieniu administratora (np. outsourcing rachunkowo – księgowy). RODO wymaga, aby administrator korzystał wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych celem ochrony danych osobowych.

Ocena skutków dla ochrony danych

Jednym z obowiązków nałożonych na administratorów jest przeprowadzenie oceny skutków dla ochrony danych osobowych. Ocena taka zawiera m. in. opis planowanych operacji przetwarzania i jego celów, oceny ryzyka oraz planowane środki zaradcze. Przeprowadzenie oceny skutków dla ochrony danych osobowych jest wymagane m. in. gdy pewien rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw osób fizycznych (np. przetwarzanie na dużą skalę szczególnych kategorii danych czy systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie).

Rejestr czynności przetwarzania

Co do zasady każdy administrator jest obowiązany do prowadzenia rejestru czynności przetwarzania. Jedynie podmioty zatrudniające mniej niż 250 osób są z tego obowiązku zwolnione, chyba że na przykład przetwarzanie danych osobowych może powodować ryzyko naruszenia wolności lub praw osób, których dane dotyczą.

Inspektor ochrony danych osobowych

Obowiązek wyznaczenia inspektora ochrony danych osobowych przez administratora oraz podmiot przetwarzający istnieje m. in. gdy w ramach ich głównej działalności przetwarzają dane osobowe, które wymagają monitorowania osób (musi być to jednak monitorowanie regularne i systematyczne) bądź przetwarzają szczególne kategorie danych na dużą skalę.

Podsumowanie

Administratorzy oraz podmioty przetwarzające są zobowiązani do zapewnienia odpowiedniego stopnia bezpieczeństwa przy przetwarzaniu danych osobowych, w tym do ochrony posiadanych przez siebie danych osobowych przed dostępem osób trzecich. Warto wskazać, iż to na administratorach i podmiotach przetwarzających spoczywa zatem obowiązek przeprowadzenia audytów pod kątem zgodności ich działalności z RODO, wprowadzenia odpowiednich procedur wewnętrznych, jak również zapoznania swego personelu z postanowieniami RODO oraz zasadami bezpieczeństwa stosowanymi u administratora (podmiotu przetwarzającego).

Artykuły dotyczące powyższej specjalizacji

 

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50