Jak skutecznie monitorować przestrzeganie RODO

Na podstawie RODO obowiązek monitorowania przestrzegania przepisów oraz polityk ADO spoczywa na IOD. Proces monitorowania, a właściwie raporty sporządzone po przeprowadzonych kontrolach, ma zapewnić administratorowi oraz podmiotowi przetwarzającemu, wiedzę na temat ewentualnych niezgodności i ryzyk związanych z przetwarzaniem danych osobowych.

ABI, którzy staną się inspektorami ochrony danych, będą mogli sięgnąć do swoich doświadczeń zdobytych w związku z wykonywaniem sprawdzeń oraz sprawozdań dla administratora danych. Oczywiście RODO nie wskazuje terminów oraz trybu, w jakim monitorowanie ma się odbywać, dlatego też sięgnięcie do dotychczasowych doświadczeń ABI będzie dobrym punktem wyjścia. IOD powinien zatem mieć ustalony plan monitorowania jednostek znajdujących się w strukturze danej firmy. Oczywiście będą spółki, które w całości będą podlegały monitorowaniu ze względu na rozbudowane procesy przetwarzania danych, ale można wskazać i takie podmioty, w których styczność z danymi dotyczy tylko niektórych obszarów. Niezależnie od tego, z jakim scenariuszem IOD przyjdzie się zmierzyć, musi uwzględnić zakres, cel, kontekst i rodzaj danych, jakie są w danym procesie przetwarzane. Następnie na podstawie swojej wiedzy zaczerpniętej np. z rejestru czynności przetwarzania, IOD powinien określić te obszary w firmie, które wymagają kontroli. Na podstawie tego, jakie dane są przetwarzane, jakie jest ryzyko związane z wystąpieniem incydentu naruszenia bezpieczeństwa, konieczne jest wskazanie częstotliwości kontroli.

IOD powinien przygotować harmonogram przeprowadzania monitorowania u administratora. RODO nie wymaga uzyskania akceptacji administratora (co mogłoby stanowić podważenie zasady niezależności IOD) dla opracowanego kalendarza audytów, kontroli, niemniej jednak informację o planowanych działaniach inspektora warto przekazać administratorowi. Na podstawie harmonogramu kontroli oraz procesów przetwarzania danych, IOD powinien określić, co dokładnie będzie chciał zweryfikować w danej jednostce. Z pewnością należy uwzględnić wszystkie regulacje, jakie w sprawdzanym obszarze regulują zasady przetwarzania danych osobowych. IOD musi ocenić, czy regulaminy, procedury, zarządzenia bądź inne akty normatywne administratora zawierają niezbędne zapisy i co ważne, czy pracownicy mają praktyczną wiedzę o tym, jak procedurę stosować i czy ją stosują.

Poza oceną zgodności dokumentów IOD powinien sprawdzić, jak w praktyce wygląda codzienna praca jednostki i jak dane są przetwarzane. Na to będą się składały informacje o systemach, z którymi ściśle są powiązane umowy z dostawcami, kwestia transferu danych poza Europejski Obszar Gospodarczy, jak i zasady usuwania danych czy realizacja praw podmiotów danych. Przeprowadzona weryfikacja danego obszaru zawsze powinna zakończyć się raportem opracowanym przez IOD, który zostanie udostępniony administratorowi danych. Planując kontrolę w jednostkach, IOD musi pamiętać, że za samym zaleceniem zmiany powinny iść wdrożenia poprawek określone harmonogramem. Końcowym etapem powinna być ponowny weryfikacja wdrożenia rekomendacji IOD.