Jak skutecznie monitorować przestrzeganie RODO
Autor: Anna Jaworska-Kłosowicz
Monitorowanie przestrzegania RODO, krajowych przepisów i polityk obowiązujących u administratora to jedno z kluczowych zadań, jakie będzie musiał wykonywać inspektor ochrony danych po 25 maja 2018 r.
Na podstawie RODO obowiązek monitorowania przestrzegania przepisów oraz polityk ADO spoczywa na IOD. Proces monitorowania, a właściwie raporty sporządzone po przeprowadzonych kontrolach, ma zapewnić administratorowi oraz podmiotowi przetwarzającemu, wiedzę na temat ewentualnych niezgodności i ryzyk związanych z przetwarzaniem danych osobowych.
ABI, którzy staną się inspektorami ochrony danych, będą mogli sięgnąć do swoich doświadczeń zdobytych w związku z wykonywaniem sprawdzeń oraz sprawozdań dla administratora danych. Oczywiście RODO nie wskazuje terminów oraz trybu, w jakim monitorowanie ma się odbywać, dlatego też sięgnięcie do dotychczasowych doświadczeń ABI będzie dobrym punktem wyjścia. IOD powinien zatem mieć ustalony plan monitorowania jednostek znajdujących się w strukturze danej firmy. Oczywiście będą spółki, które w całości będą podlegały monitorowaniu ze względu na rozbudowane procesy przetwarzania danych, ale można wskazać i takie podmioty, w których styczność z danymi dotyczy tylko niektórych obszarów. Niezależnie od tego, z jakim scenariuszem IOD przyjdzie się zmierzyć, musi uwzględnić zakres, cel, kontekst i rodzaj danych, jakie są w danym procesie przetwarzane. Następnie na podstawie swojej wiedzy zaczerpniętej np. z rejestru czynności przetwarzania, IOD powinien określić te obszary w firmie, które wymagają kontroli. Na podstawie tego, jakie dane są przetwarzane, jakie jest ryzyko związane z wystąpieniem incydentu naruszenia bezpieczeństwa, konieczne jest wskazanie częstotliwości kontroli.
IOD powinien przygotować harmonogram przeprowadzania monitorowania u administratora. RODO nie wymaga uzyskania akceptacji administratora (co mogłoby stanowić podważenie zasady niezależności IOD) dla opracowanego kalendarza audytów, kontroli, niemniej jednak informację o planowanych działaniach inspektora warto przekazać administratorowi. Na podstawie harmonogramu kontroli oraz procesów przetwarzania danych, IOD powinien określić, co dokładnie będzie chciał zweryfikować w danej jednostce. Z pewnością należy uwzględnić wszystkie regulacje, jakie w sprawdzanym obszarze regulują zasady przetwarzania danych osobowych. IOD musi ocenić, czy regulaminy, procedury, zarządzenia bądź inne akty normatywne administratora zawierają niezbędne zapisy i co ważne, czy pracownicy mają praktyczną wiedzę o tym, jak procedurę stosować i czy ją stosują.
Poza oceną zgodności dokumentów IOD powinien sprawdzić, jak w praktyce wygląda codzienna praca jednostki i jak dane są przetwarzane. Na to będą się składały informacje o systemach, z którymi ściśle są powiązane umowy z dostawcami, kwestia transferu danych poza Europejski Obszar Gospodarczy, jak i zasady usuwania danych czy realizacja praw podmiotów danych. Przeprowadzona weryfikacja danego obszaru zawsze powinna zakończyć się raportem opracowanym przez IOD, który zostanie udostępniony administratorowi danych. Planując kontrolę w jednostkach, IOD musi pamiętać, że za samym zaleceniem zmiany powinny iść wdrożenia poprawek określone harmonogramem. Końcowym etapem powinna być ponowny weryfikacja wdrożenia rekomendacji IOD.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »