Jednym z najczęściej zadawanym pytaniem jest „Od czego zacząć?”. Podpowiadamy, od ustalenia ról w zakresie ODO oraz od mapowania procesów. W kontekście ról, należy zweryfikować, czy występujemy w roli administratora danych (to nawet wydaje się pewne), czy w roli podmiotu przetwarzającego, w roli współadministratora, w roli przedstawiciela, czy może w roli dalszego podmiotu przetwarzającego! W zależności od roli na gruncie ODO, uzależnione jest wykonanie spoczywających obowiązków.

Audyt ODO jest elementem zarządzania systemem ODO. W obszarze ODO można wyróżnić kilka rodzajów audytu.  Wydaje się być oczywiste, iż procesy, w których przetwarzane są dane osobowe podlegają audytowi. Audyt w zakresie ochrony danych osobowych jest stałym elementem procesu zarządzania systemat ochrony danych osobowych w organizacji. W zależności od sektora rynku, wielkości organizacji lub projektu, otoczenia wewnętrznego, otoczenia zewnętrznego, można wyróżnić kilka rodzajów audytów ODO. Należą do nich między innymi: audyt wejścia, audyt okresowy/planowany, audyt częściowy lub całościowy, audyt w wyniku wystąpienia incydentu / naruszenia, audyt w wybranym obszarze ODO, audyt na żądanie, audyt pokontrolny, audyt zewnętrzny, audyt wewnętrzny, audyt niezależny, audyt inwestycyjny, audyt certyfikujący, audyt kodeksów postępowania (audyt dobrych praktyk). Audyt w zakresie ochrony danych osobowych może być wykonany w oparciu o merytorykę wynikającą z tzw. zasady rozliczalności lub proces szacowania ryzyka dla ochrony danych oraz inne, w zależności od obszaru objętego audytem. Więcej informacji znajdziesz w publikacji „Szacowanie ryzyka dla ochrony danych osobowych na gruncie RODO. Od teorii do praktyki” – https://www.abbadvisory.com/ksiazka/

Co kryje się pod pojęciem wdrożenie ODO? Tak naprawdę pojęcie to odnosi się do tzw. systemu zarządzania ODO. W zależności od roli, w jakich występujemy, uzależnione będzie opracowanie, wdrożenie i bieżące zarządzanie systemem ODO właśnie. Wdrożenie ODO to pojęcie, pod którym kryje się wiele działań (w tym działań równoległych). Przykładowo, należy rozpocząć działania od identyfikacji ról, poprzez mapowanie procesów, szacowanie ryzyka, opracowanie polityk ODO, wdrożenia, szkolenia i bieżące zarządzanie ODO!

Innymi słowy wewnętrzna dokumentacja w zakresie ODO (system zarządzania ODO). RODO stanowi, iż polityki ochrony danych wdraża się w zależności od zidentyfikowanego ryzyka. To oznacza, że przed opracowaniem, wdrożeniem i zarządzaniem politykami ODO, w pierwszej kolejności powinien zostać przeprowadzony proces szacowania ryzyka dla ochrony danych. Oczywiście nic nie stoi na przeszkodzie, aby jednocześnie, równolegle opracowane zostały inne polityki, np. w obszarze zarządzania incydentami, naruszeniami, dot. art. 25, 30, 32, Rozdziału V RODO. Kto odpowiada za polityki ODO? Administrator danych, współadministratorzy, podmioty przetwarzające z uczestnictwem Inspektora Ochrony Danych, o ile został powołany. Po opracowaniu i wdrożeniu polityk w zakresie ODO, należy oczywiście przeprowadzić szkolenie z ich postanowień oraz poddawać przeglądom oraz aktualizacji, w tym audytom. UWAGA! Polityki ochrony danych objęte są poufnością i nie powinny być w żaden sposób publikowane ani rozpowszechniane! Błędem jest żądanie przez administratora danych udostepnienie polityk ODO przez podmiot przetwarzający! W tej sprawie stanowisko zajął już ówczesny GIODO: https://archiwum.giodo.gov.pl/222/id_art/9906/j/pl?fbclid=IwAR0Vc4b6_wfg3c_Oq_zE6bjMI7KraoNHIWwp7PKZBMxE3VFUpyqeUnh8U-Y

Na gruncie RODO, występuje kilka rejestrów. Na przykład, Rejestr czynności przetwarzania, Rejestr Kategorii czynności przetwarzania (art. 30 RODO), Rejestr incydentów i naruszeń, Rejestr osób upoważnionych do przetwarzania danych, Rejestr podmiotów przetwarzających, Rejestr ujawnień danych osobowych, itp. Zakres merytoryczny niektórych rejestrów wprost wskazany jest w RODO. RCP oraz RKCP podlegają audytowi. Są również dostępne na każde żądanie przez Prezesa Urzędu Ochrony Danych Osobowych!

Tak, planowanie, przeprowadzenie szkolenia w zakresie ODO jest działaniem obligatoryjnym. Za zaplanowanie i przeprowadzenie (strategię) szkoleń odpowiada administrator danych, współadministratorzy, podmiot przetwarzający i oczywiście Inspektor Ochrony Danych, jeżeli został wyznaczony. Można oczywiście, zaprosić zewnętrznych ekspertów do przeprowadzenia szkoleń w zakresie ODO!

Outsourcing Inspektora Ochrony Danych na gruncie RODO/ODO jest jak najbardziej dopuszczalny! Warto skorzystać z usług ekspertów w tym obszarze. Ma to swoje pozytywne i negatywne strony. Natomiast na co szczególnie zwrócić uwagę? Na wiedzę i doświadczenie! Nikt nie ma patentu na wiedzę. Nie ma jeszcze certyfikacji w tym obszarze. Przy outsourcing usług IOD trzeba mądrze wybrać! Rekomendujemy szczególne zwrócenie uwagi na art. 37, 38, 39 RODO (oraz motywy preambuły do RODO) oraz wytyczne EROD dot. IOD! Właściwe wyznaczenie i pełnienie obowiązków przez IOD podlega audytowi!

Uwaga! Przeprowadzenie procesu szacowania ryzyka dla ODO jest obligatoryjne! Jest to jeden z najważniejszych procesów wynikających z RODO! Jest to element systemu zarządzania ODO! Wyniki szacowania ryzyka determinują zastosowanie poszczególnych artykułów RODO! Na przykład opracowania i wdrożenia odpowiednich polityk ODO, wykonywanie zadań przez IOD itd. UWAGA! Nie można mylić procesu szacowania ryzyka z analizą i oceną bezpieczeństwa przetwarzania, z analizą i oceną wagi naruszenia, z analizą i oceną sutków dla podmiotu danych! Proces szacowania ryzyka to m. in.: (1) mapowanie procesów głównych – (2) mapowanie czynności przetwarzania – (3) wskazanie celu przetwarzania – (4) wskazanie zbioru danych osobowych (o ile ma zastosowanie) – (5) szczegółowy opis przetwarzania – (6) wskazanie źródeł zagrożenia – (7) opis źródła zagrożenia w danym kontekście (w ujęciu jakościowym) – (8) ewaluacja źródła zagrożenia w ujęciu ilościowym – (9) przypisanie negatywnych skutków do źródła zagrożenia – (10)  ewaluacja negatywnego skutku w ujęciu ilościowym – (11) szacowanie ryzyka – (12) wskazanie właściciela ryzyka – (13) wskazania kryterium postepowania z ryzykiem – (14) opracowanie i wdrożenie planu postępowania z ryzykiem – (15) wtórna analiza i wtórne szacowanie ryzyka – (16) dokonanie oceny skutków dla ochrony danych (o ile ma zastosowanie) – (17) uprzednie konsultacje z organem nadzorczym (o ile ma zastosowanie) – (18) zakończenie procesu szacowania ryzyka dla ochrony danych. Więcej informacji znajdziesz w publikacji „Szacowanie ryzyka dla ochrony danych osobowych na gruncie RODO. Od teorii do praktyki” – https://www.abbadvisory.com/ksiazka/ Pierwsza (i jedyna) publikacja tak gruntownie przedstawiająca proces szacowania ryzyka dla ODO! Nie musisz być ekspertem, aby ten proces przejść! Z naszą publikacją jest to możliwe! Patrz również ABI Expert, Anna Buczyńska-Borowy, artykuł z dnia 13.11.2019 pod tytułem „Szacowanie ryzyka dla ODO w ujęciu praktycznym” (http://www.abi-expert.pl/wydania/pazdziernik-grudzien-2019/art,2529,szacowanie-ryzyka-dla-odo-w-ujeciu-praktycznym.html)

Jeden z najważniejszych procesów wynikających z RODO! Przeprowadzenie oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO jest obowiązkowe w trzech przypadkach: a) dla oszacowanego na wysokim, bardzo wysokim, krytycznym poziomie ryzyka (wyniki analizy i szacowania ryzyka dla ochrony danych), b) dla wskazanych w treści art. 35 RODO zakresu, czyli: dla systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; dla przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub dla systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie, c) dla operacji przetwarzania wskazanych w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 08.07.2019 roku . Tu należy również zaznaczyć, iż operacje przetwarzania wykonywane na danych stanowią, w procesie szacowania ryzyka dla ODO, źródło zagrożenia. Podobnie jak wymienione w treści art. 35 zautomatyzowane przetwarzanie w tym profilowanie, przetwarzanie na dużą skalę szczególnej kategorii danych osobowych (kategorie i zakres danych), systematyczne monitorowanie miejsc dostępnych publicznie. Zakres merytoryczny dokonania oceny skutków wskazany jest w art. 35 RODO oraz w wytycznych EROD. UWAGA! Przeprowadzenie DPIA jest elementem procesu szacowania ryzyka dla ochrony danych!

Analiza bezpieczeństwa przetwarzania danych osobowych jest, co do zasady, częścią procesu szacowania ryzyka dla ochrony danych. Praktyka pokazuje, iż pomimo uwzględnienia wskazanych w art. 32 RODO postanowień w procesie szacowania ryzyka, administratorzy danych, współadministratorzy, podmioty przetwarzające przeprowadzają dodatkową analizę bezpieczeństwa przetwarzania w kontekście art. 32 RODO. Należy podkreślić, iż dodatkowa analiza bezpieczeństwa przetwarzania w kontekście art. 32 nie zastępuje i nie wyczerpuje obowiązku przeprowadzenia procesu szacowania ryzyka dla ochrony danych. Analizę bezpieczeństwa przetwarzania w kontekście art. 32 RODO można podzielić na: analizę dotyczącą środowiska teleinformatycznego (na poziomie użytkownika, na poziomie software i hardware), analizę w kontekście procesów, czynności przetwarzania, celów lub zbiorów danych osobowych, analizę w kontekście dostarczanych produktów lub usług, analizę w kontekście realizowanego projektu, w którym przetwarzane są dane osobowe, oraz inne, w zależności od potrzeb organizacji. Zakres merytoryczny analizy bezpieczeństwa przetwarzania wynika z art. 32 RODO.

Bardzo ważny element systemu zarządzania ODO w organizacji. Administrator danych, współadministratorzy zobowiązani są do monitorowania wszelkich incydentów oraz naruszeń w zakresie naruszenia ochrony danych osobowych. „Incydent” oznacza zdarzenie, które może przyczynić się do wystąpienia naruszenia ochrony danych osobowych. Na przykład, incydent w postaci niezamknięcia okna, drzwi, pozostawienia komputera bez wylogowania, zagubienie nośnika danych jest incydentem, który może, po dokonaniu oceny, zostać zakwalifikowana jako naruszenie o różnej wadze. „Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Uwaga! Nie każdy incydent jest naruszeniem. Należy dokonać oceny, czy zgłoszony incydent kwalifikuje się jako naruszenie, czy występuje ryzyko naruszenia praw lub wolności osób fizycznych oraz określić poziom tego ryzyka. Administrator danych, współadministratorzy, podmiot przetwarzający  prowadzi wykaz incydentów oraz wykaz naruszeń wraz z opisem postępowania w celu dokonania lub nie, notyfikacji naruszenia do organu nadzorczego. Zgodnie z art. 33 RODO, naruszenie mogące powodować ryzyko naruszenia praw lub wolności osób fizycznych należy zgłosić do PUODO w terminie 72 godzin po stwierdzeniu naruszenia (w niektórych branżach czas ten wynosi 24 godziny). Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych, współadministratorzy zobowiązany jest, bez zbędnej zwłoki, zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Metodyka dotyczącą analizy i oceny wagi / powagi naruszenia bardzo szczegółowo została przedstawiona w naszej publikacji Szacowanie ryzyka dla ochrony danych osobowych na gruncie RODO. Od teorii do praktyki” – https://www.abbadvisory.com/ksiazka/ Zapraszamy!

Jeden z najważniejszych procesów na gruncie RODO! O czym należy pamiętać? Określony w art. 28 RODO proces powierzenia danych osobowych należy również uwzględnić w procesie szacowania ryzyka dla ochron danych, jako potencjalne źródło zagrożenia. Im dłuższa lista procesorów, tym większe prawdopodobieństwo wystąpienia incydentu lub naruszenia ochrony danych osobowych i tym samym wystąpienia negatywnych skutków dla podmiotu danych (w przypadku materializacji źródła/źródeł zagrożenia). W procesie powierzenia danych osobowych kluczowe jest dokonanie uprzedniej weryfikacji, czy tzw. pierwszy procesor, spełnia określone w RODO wymogi związane z bezpieczeństwem przetwarzania powierzonych danych osobowych. Weryfikacja pierwotnego (oraz dalszych procesorów) może odbyć się w różny sposób: a) poprzez przeprowadzenie ankiety w zakresie ODO, b) poprzez przeprowadzenia audytu w obszarze ODO, c) w formie złożenia przez podmiot przetwarzający oświadczania o spełnieniu wymogów w zakresie ODO. Otrzymane w ramach sprawdzenia podmiotu przetwarzającego informacje należy uwzględnić w procesie szacowania ryzyka dla ochrony danych. Merytoryczny przykład weryfikacji pierwotnego podmiotu przetwarzającego w formie ankiety przedstawiony został poniżej (patrz Tabela poniżej). Wymieniony w ankiecie zakres merytoryczny należy dostosować do potrzeb organizacji.

Zgodnie z ust. 1 art. 26 RODO, jeżeli co najmniej dwóch administratorów danych wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W ramach współadministrowania, administratorzy danych zobowiązani są do dokonania podziału pomiędzy sobą obowiązków wynikających z RODO. Proces współadministrowania może dotyczyć wszystkich lub wybranych w procesów, czynności przetwarzania, celów, zbiorów danych osobowych lub dedykowanych, wspólnie realizowanych projektów. Współadministrowanie może dotyczyć także tylko operacji przetwarzania wykonywanej na danych osobowych. W kontekście procesu szacowania ryzyka dla ochrony danych rekomenduje się, aby występowanie procesu współadministrowania zostało zweryfikowane na etapie mapowania procesów, czynności, celów, lub zbiorów danych osobowych oraz na etapie dokonania  szczegółowego opisu przetwarzania na poziomie identyfikacji operacji przetwarzania wykonywanych na danych w danym kontekście przetwarzania. Jeżeli pomiędzy administratorami danych zidentyfikowany zostanie proces współadministrowania, wówczas należy dokonać ustaleń i wyznaczyć odpowiedzialności za dokonanie, przeprowadzenie procesu szacowania ryzyka dla ochrony danych osobowych w związku z ich przetwarzaniem we współadministrowanych obszarach. Takich ustaleń można dokonać w porozumieniu, umowie o współadministrowaniu. Proces współadministrowania należy również poddać ewaluacji w kontekście źródła zagrożenia. Sam fakt występowania procesu współadministrowania jest już traktowane jako proces, który może powodować negatywne skutki dla podmiotu danych. Więcej informacji znajdziesz w publikacji „Szacowanie ryzyka dla ochrony danych osobowych na gruncie RODO. Od teorii do praktyki” – https://www.abbadvisory.com/ksiazka/ oraz w artykule ABI Expert, Anna Buczyńska-Borowy, artykuł z dnia 18.05.2017 pod tytułem „Współadministratorzy i proces współadministrowania” (http://www.abi-expert.pl/wydania/kwiecien-czerwiec-2017/art,1647,wspoladministratorzy-i-proces-wspoladministrowania-.html)

Artykuł 25 RODO oraz Wytyczne EROD nr 4/2019 w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych z artykułu 25 , wymaga od administratorów danych, współadministratorów, podmiotów przetwarzających uwzględniania ochrony danych osobowych w fazie projektowania oraz domyślnej ochrona danych. Obowiązek ten jest skierowany do: a) administratorów danych, w kontekście procesów organizacyjnych, biznesowych, dla dostarczanych usług lub produktów, planowanych projektów  oraz innych, w których planuje się przetwarzanie danych osobowych, b) współadministratorów, w kontekście procesów organizacyjnych, biznesowych, dla dostarczanych usług lub produktów, planowanych projektów  oraz innych, w których planuje się przetwarzanie danych osobowych, c) podmiotów przetwarzających, dla dostarczanych przez nich usług lub produktów, w których planuje się przetwarzanie danych osobowych. Administratorzy danych, współadministratorzy, podmiot przetwarzający, zobowiązany jest do wdrożenia,  zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych, takich jak: a) pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, b) minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Administrator danych, współadministratorzy, podmiot przetwarzający, dla planowanego przetwarzania danych osobowych, uwzględnia odpowiednie środki techniczne i organizacyjne zabezpieczenia danych, minimalizacji wystąpienia naruszenia ochrony danych osobowych, biorąc pod uwagę: a) stan wiedzy technicznej, b) koszt wdrażania, c) charakter, zakres, kontekst i cele przetwarzania, d) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania. W kontekście procesu szacowania ryzyka dla ochrony danych oznacza to, iż proces ten należy przeprowadzić przed pierwszą czynnością wykonaną na danych dla planowanych procesów, projektów, usług, produktów lub innych rozwiązań. Między innymi, od wyników szacowania ryzyka dla ochrony danych, uzależnia się zaplanowanie i wdrożenie środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania i minimalizacji mogących wystąpić naruszeń ochrony danych osobowych.

To zależy! Każdy element systemu zarządzania ODO jest niezmiernie istoty, ale uzależniony od kilku czynników! Można, w oparciu o tzw. zasadę rozliczalności, samodzielnie dokonać weryfikacji, czy jakiś obszar nie został przez nas pominięty. Przykładem takiej listy kontrolnej dla systemu zarządzania ODO jest przygotowana przez nas „GDPR Check List” dostępna pod linkiem https://www.abbadvisory.com/gdpr-check-list/ 

Wiele informacji dostępnych jest na stronie internetowej Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl, na www EROD https://edpb.europa.eu/ oraz w ogólnodostępnych treściach w Internecie, dostępnych publikacjach. Warto szukać! Zapraszamy również do kontaktu z naszymi ekspertami w zakresie ODO! Pozostajemy do Państwa dyspozycji! Więcej na https://www.abbadvisory.com/o-nas/ oraz https://www.abbadvisory.com/uslugi/