Lista kontrolna zgodności z RODO: 12 podstawowych kontroli, które musi wdrożyć każde europejskie MŚP

Ogólne rozporządzenie o ochronie danych pozostaje kamieniem węgielnym europejskiego prawa ochrony danych. Dzięki łącznym grzywnom przekraczającym 5 miliardów euro od 2018 r., organy nadzorcze w całej UE wykazały niezachwiane zaangażowanie w egzekwowanie przepisów. Dla małych i średnich przedsiębiorstw zrozumienie, które kontrole mają największe znaczenie, nie jest już opcjonalne. To imperatyw biznesowy.

Niniejsza lista kontrolna zawiera 12 podstawowych kontroli, które organy ochrony danych UE konsekwentnie badają podczas audytów. Każda kontrola jest bezpośrednio powiązana z konkretnymi artykułami RODO, zapewniając Państwa organizacji jasną ścieżkę od tekstu regulacyjnego do zgodności operacyjnej.

1. Mapowanie danych i rejestr czynności przetwarzania

Artykuł 30 RODO nakłada na administratorów i podmioty przetwarzające obowiązek prowadzenia pisemnej dokumentacji czynności przetwarzania. Dla MŚP oznacza to stworzenie kompleksowego wykazu danych, który dokumentuje każdą kategorię danych osobowych gromadzonych przez Państwa organizację, podstawę prawną przetwarzania, okresy przechowywania oraz wszelkie strony trzecie, którym dane są udostępniane.

Państwa mapa danych powinna obejmować wszystkie działy, w tym HR, marketing, finanse i obsługę klienta. Wiele działań egzekucyjnych wynika z niekompletnych lub nieaktualnych rejestrów czynności przetwarzania. Na przykład belgijski organ ochrony danych nałożył wiele grzywien specjalnie za naruszenia art. 30, traktując niekompletne rejestry jako dowód szerszych uchybień w zakresie zgodności.

• Proszę udokumentować wszystkie kategorie przetwarzanych danych osobowych (imiona i nazwiska, adresy e-mail, adresy IP, dane dotyczące zdrowia itp.)
• Proszę zapisać cel i podstawę prawną każdego działania związanego z przetwarzaniem danych
• Identyfikacja przepływów danych pomiędzy wewnętrznymi działami i zewnętrznymi podmiotami przetwarzającymi.
• Proszę określić okresy przechowywania dla każdej kategorii danych.
• Proszę aktualizować rejestr co najmniej raz na kwartał lub za każdym razem, gdy czynności przetwarzania ulegną zmianie.

2. Proszę ustalić podstawę prawną dla każdego działania związanego z przetwarzaniem danych

Artykuł 6 określa sześć zgodnych z prawem podstaw przetwarzania danych osobowych: zgoda, konieczność umowna, obowiązek prawny, żywotne interesy, zadanie publiczne i uzasadnione interesy. Każda czynność przetwarzania w Państwa mapie danych musi być powiązana dokładnie z jedną z tych podstaw. Poleganie na niewłaściwej podstawie lub brak udokumentowania Państwa wyboru jest jednym z najczęstszych naruszeń wskazywanych przez organy nadzorcze.

W przypadku szczególnych kategorii danych (art. 9), takich jak dane dotyczące zdrowia, dane biometryczne lub dane ujawniające pochodzenie rasowe lub etniczne, muszą Państwo określić dodatkowy warunek zgodnie z art. 9 ust. 2. Przetwarzanie danych szczególnych kategorii bez spełnienia wymogów zarówno art. 6, jak i art. 9 stanowi poważne naruszenie.

• Proszę przyporządkować każdą czynność przetwarzania do jednej z sześciu podstaw określonych w art. 6.
• W przypadku uzasadnionych interesów proszę przeprowadzić i udokumentować ocenę uzasadnionych interesów (LIA).
• Nigdy nie należy domyślnie wyrażać zgody, gdy inna podstawa jest bardziej odpowiednia.
• Proszę określić warunki określone w art. 9 dla wszelkich danych kategorii specjalnej

3. Zarządzanie zgodami

W przypadku, gdy wybraną przez Państwa podstawą prawną jest zgoda, art. 7 i 8 nakładają surowe wymogi. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Wycofanie zgody musi być równie łatwe, jak jej udzielenie. Wstępnie zaznaczone pola, zgoda w pakiecie lub zgoda zawarta w regulaminie nie spełniają standardów RODO.

CNIL (francuski organ ochrony danych) był szczególnie aktywny w egzekwowaniu wymogów dotyczących zgody, nakładając znaczne grzywny na organizacje, które polegały na niezgodnych mechanizmach zgody na pliki cookie. Państwa platforma do zarządzania zgodami powinna generować podlegające audytowi zapisy, które pokazują, kiedy, w jaki sposób i w jakim celu każda osoba wyraziła zgodę.

• Wdrożenie mechanizmów szczegółowej zgody (oddzielna zgoda dla oddzielnych celów)
• Prowadzenie audytowalnych rejestrów zgód ze znacznikami czasu
• Zapewnienie prostego mechanizmu wycofania zgody w dowolnym momencie
• Coroczny przegląd ważności zgody, odświeżanie w przypadku zmiany kontekstu przetwarzania.
• W przypadku dzieci poniżej 16. roku życia (lub wieku określonego przez Państwa państwo członkowskie) należy uzyskać zgodę rodziców zgodnie z art. 8.

4. Ocena inspektora ochrony danych (IOD)

Artykuł 37 wymaga wyznaczenia inspektora ochrony danych, gdy podstawowa działalność administratora lub podmiotu przetwarzającego obejmuje regularne i systematyczne monitorowanie osób, których dane dotyczą, na dużą skalę lub przetwarzanie na dużą skalę szczególnych kategorii danych. Nawet jeśli powołanie inspektora ochrony danych nie jest obowiązkowe, wyznaczenie inspektora ochrony danych lub osoby odpowiedzialnej za prywatność świadczy o odpowiedzialności.

Inspektor ochrony danych musi mieć zapewnione zasoby niezbędne do wykonywania swoich zadań (art. 38) i musi podlegać kierownictwu najwyższego szczebla. Inspektor ochrony danych nie może zostać zwolniony ani ukarany za wykonywanie swoich obowiązków i należy unikać konfliktów interesów.

• Ocenić, czy Państwa organizacja jest zobowiązana do wyznaczenia inspektora ochrony danych zgodnie z art. 37
• Jeśli nie jest to wymagane, proszę rozważyć dobrowolną nominację lub wyznaczyć osobę odpowiedzialną za prywatność.
• Zapewnienie inspektorowi ochrony danych bezpośredniego dostępu do kierownictwa wyższego szczebla
• opublikować dane kontaktowe inspektora ochrony danych i przekazać je Państwa organowi nadzorczemu

5. Oceny skutków dla ochrony danych (DPIA)

Artykuł 35 nakłada obowiązek przeprowadzenia oceny skutków dla ochrony danych w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Obejmuje to systematyczne i szeroko zakrojone profilowanie o znaczących skutkach, przetwarzanie na dużą skalę danych szczególnych kategorii oraz systematyczne monitorowanie obszarów publicznie dostępnych.

Ocena skutków dla ochrony danych musi zawierać opis przetwarzania, ocenę jego niezbędności i proporcjonalności, ocenę ryzyka oraz określenie środków ograniczających to ryzyko. Jeżeli ocena skutków dla ochrony danych wskazuje na wysokie ryzyko szczątkowe, art. 36 wymaga uprzedniej konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania.

• Prowadzenie oceny progowej DPIA dla wszystkich nowych czynności przetwarzania
• Proszę przeprowadzić pełną ocenę skutków dla ochrony danych w odniesieniu do przetwarzania wysokiego ryzyka zgodnie z definicją zawartą w art. 35 ust. 3 oraz w opublikowanych przez Państwa organ ochrony danych wykazach.
• Dokumentowanie środków ograniczających ryzyko i oceny ryzyka szczątkowego
• Proszę skonsultować się z organem nadzorczym zgodnie z art. 36, jeśli ryzyko szczątkowe pozostaje wysokie.

6. Procedury powiadamiania o naruszeniu ochrony danych

Artykuły 33 i 34 ustanawiają rygorystyczny system zgłaszania naruszeń. Naruszenia ochrony danych osobowych należy zgłaszać organowi nadzorczemu bez zbędnej zwłoki i, o ile to możliwe, w ciągu 72 godzin od powzięcia wiadomości o naruszeniu. W przypadku, gdy naruszenie może skutkować wysokim ryzykiem dla osób fizycznych, osoby te również muszą zostać bezpośrednio powiadomione.

Wiele organów nadzorczych traktuje opóźnione powiadomienie jako czynnik obciążający przy ustalaniu grzywien. Zarówno holenderski organ ochrony danych (Autoriteit Persoonsgegevens), jak i irlandzki organ ochrony danych (DPC) nałożyły kary specjalnie za opóźnione zgłoszenie naruszenia, niezależnie od jakiejkolwiek kary za podstawowy błąd w zabezpieczeniach.

• Ustanowienie wewnętrznej procedury wykrywania i eskalacji naruszeń
• Określenie ról i obowiązków w zakresie oceny naruszeń i powiadamiania o nich
• Stworzenie wzorów powiadomień dla organów nadzorczych (wymogi dotyczące treści określone w art. 33 ust. 3)
• Wdrożenie rejestru naruszeń dokumentującego wszystkie naruszenia ochrony danych osobowych, w tym te niezgłoszone.
• Przeprowadzanie przeglądów po wystąpieniu naruszenia, aby zapobiec jego ponownemu wystąpieniu

7. Transgraniczne przekazywanie danych

Rozdział V RODO (art. 44-49) ogranicza przekazywanie danych osobowych do krajów spoza EOG, chyba że istnieją odpowiednie zabezpieczenia. W następstwie wyroku w sprawie Schrems II (C-311/18) organizacje muszą przeprowadzać oceny skutków przekazania (TIA) w przypadku przekazywania danych w oparciu o standardowe klauzule umowne (SCC).

Europejska Rada Ochrony Danych (EDPB) opublikowała szczegółowe wytyczne dotyczące dodatkowych środków w zakresie międzynarodowych transferów danych. Jeśli Państwa organizacja korzysta z usług w chmurze lub platform SaaS z serwerami poza EOG, każdy transfer musi zostać udokumentowany i oceniony.

• Proszę zidentyfikować wszystkie międzynarodowe transfery danych w swojej mapie danych
• Proszę zweryfikować decyzje stwierdzające odpowiedni stopień ochrony na mocy art. 45 dla każdego kraju przeznaczenia
• Wdrożenie SCC (art. 46 ust. 2 lit. c)) wraz z ocenami skutków transferu w przypadku braku decyzji stwierdzającej odpowiedni poziom ochrony.
• Proszę udokumentować dodatkowe środki techniczne i organizacyjne zgodnie z zaleceniami EROD 01/2020
• Monitorowanie zmian w decyzjach dotyczących adekwatności (np. rozwój ram prywatności danych UE-USA)

8. Umowy z podmiotami przetwarzającymi

Artykuł 28 wymaga wiążącej umowy między administratorami a podmiotami przetwarzającymi, która reguluje przetwarzanie danych osobowych. Umowa ta musi zawierać określone obowiązkowe klauzule obejmujące przedmiot, czas trwania, charakter i cel przetwarzania, rodzaje danych osobowych oraz obowiązki podmiotu przetwarzającego.

Organy nadzorcze w coraz większym stopniu analizują relacje administrator-podmiot przetwarzający. Niemiecki Federalny Komisarz ds. Ochrony Danych (BfDI) podkreślił, że korzystanie z usług podmiotu przetwarzającego bez odpowiednich zabezpieczeń umownych stanowi samodzielne naruszenie RODO, niezależnie od tego, czy doszło do naruszenia danych.

• Audyt wszystkich istniejących relacji z podmiotami przetwarzającymi dane pod kątem zgodności z art. 28
• Proszę uwzględnić obowiązkowe klauzule: instrukcje przetwarzania, poufność, środki bezpieczeństwa, zgody podprzetwarzających, prawa do audytu, obowiązek usunięcia.
• Prowadzenie rejestru wszystkich procesorów i podprocesorów
• Przeprowadzanie okresowych audytów procesorów lub żądanie certyfikatów SOC 2 / ISO 27001

9. Powiadomienia o ochronie prywatności i przejrzystość

Artykuły 13 i 14 nakładają na administratorów obowiązek udzielania wyczerpujących informacji osobom, których dane dotyczą, w momencie zbierania danych (lub w rozsądnym terminie w przypadku danych nieuzyskanych bezpośrednio). Informacje muszą być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka.

Informacje o ochronie prywatności muszą zawierać tożsamość i dane kontaktowe administratora i inspektora ochrony danych, cele i podstawę prawną przetwarzania, odbiorców danych, zabezpieczenia międzynarodowego transferu, okresy przechowywania, prawa osoby, której dane dotyczą, prawo do złożenia skargi oraz informację, czy stosowane jest zautomatyzowane podejmowanie decyzji (art. 22).

• Zapewnienie warstwowych informacji o ochronie prywatności obejmujących wszystkie wymogi art. 13 i 14
• Proszę udostępnić powiadomienia we wszystkich punktach gromadzenia danych (strona internetowa, formularze, aplikacje, w sklepie).
• Proszę używać prostego języka odpowiedniego dla odbiorców
• Proszę przeglądać i aktualizować powiadomienia za każdym razem, gdy zmienią się czynności przetwarzania.

10. Prawa osoby, której dane dotyczą

Rozdział III RODO (art. 15-22) przyznaje osobom, których dane dotyczą, szereg praw: dostęp, sprostowanie, usunięcie (prawo do bycia zapomnianym), ograniczenie, przenoszenie danych, sprzeciw oraz prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem. Organizacje muszą odpowiedzieć na ważne wnioski w ciągu jednego miesiąca, z możliwością przedłużenia o kolejne dwa miesiące w przypadku złożonych wniosków.

Włoska Garante nałożyła wiele grzywien za brak odpowiedzi na wnioski o dostęp do danych w ustawowym terminie. Państwa organizacja musi posiadać udokumentowane procedury weryfikacji tożsamości, lokalizowania odpowiednich danych i udzielania odpowiedzi w wymaganym formacie.

• Ustanowienie udokumentowanych procedur dla każdego prawa osoby, której dane dotyczą
• Wdrożenie procesów weryfikacji tożsamości w celu zapobiegania nieautoryzowanemu dostępowi
• Proszę skonfigurować procesy śledzenia i eskalacji, aby dotrzymać miesięcznego terminu.
• Przeszkolenie pracowników obsługujących klientów w zakresie rozpoznawania i kierowania wniosków dotyczących osób, których dane dotyczą.
• Prowadzenie rejestrów wszystkich otrzymanych wniosków i udzielonych odpowiedzi

11. Techniczne i organizacyjne środki bezpieczeństwa

Artykuł 32 wymaga od administratorów i podmiotów przetwarzających wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka. Obejmuje to, w stosownych przypadkach, pseudonimizację i szyfrowanie, zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów przetwarzania, zdolność do przywrócenia danych w odpowiednim czasie oraz regularne testowanie.

Środki bezpieczeństwa muszą być proporcjonalne do ryzyka. Praktyka medyczna przetwarzająca dane dotyczące zdrowia wymaga silniejszej kontroli niż sprzedawca detaliczny przetwarzający jedynie nazwiska i adresy dostaw. Hiszpańska AEPD nałożyła liczne grzywny za nieodpowiednie środki bezpieczeństwa, szczególnie w przypadkach, gdy organizacje nie wdrożyły podstawowych środków kontroli, takich jak zarządzanie dostępem i szyfrowanie.

• Wdrożenie szyfrowania w spoczynku i podczas przesyłania danych osobowych
• Egzekwowanie kontroli dostępu opartej na rolach zgodnie z zasadą najmniejszych uprawnień
• Wdrożenie uwierzytelniania wieloskładnikowego dla dostępu administracyjnego i zdalnego
• Przeprowadzanie regularnych ocen podatności i testów penetracyjnych
• Utrzymywanie i testowanie planów ciągłości działania i odtwarzania po awarii

12. Szkolenie i świadomość personelu

Artykuł 39(1)(b) określa podnoszenie świadomości i szkolenie personelu jako podstawowe zadanie inspektora ochrony danych. Poza wymogami prawnymi, nieprzeszkolony personel jest największym źródłem incydentów związanych z ochroną danych. Phishing, błędnie przekierowane wiadomości e-mail i niewłaściwe przetwarzanie danych stanowią znaczną część zgłaszanych naruszeń.

Państwa program szkoleniowy powinien być dostosowany do danej roli. Pracownicy obsługi klienta potrzebują innych szkoleń niż administratorzy IT lub pracownicy marketingu. Szkolenia muszą być udokumentowane, powtarzane co najmniej raz w roku i aktualizowane w celu uwzględnienia nowych zagrożeń i zmian regulacyjnych.

• Przeprowadzenie szkolenia uświadamiającego w zakresie RODO dla wszystkich pracowników w momencie zatrudnienia, a następnie co roku.
• Zapewnienie szkoleń dla poszczególnych ról (np. raportowanie naruszeń dla IT, zarządzanie zgodami dla marketingu).
• Dokumentowanie ukończenia szkolenia i prowadzenie rejestrów obecności
• Przeprowadzanie symulacji phishingu i ćwiczeń uświadamiających w zakresie inżynierii społecznej
• Aktualizacja treści szkolenia w celu odzwierciedlenia nowych trendów i wytycznych w zakresie egzekwowania prawa

Budowanie kultury zgodności

Te 12 kontroli stanowi podstawę zgodności z RODO, ale nie są one jednorazową listą kontrolną. Ochrona danych to ciągły proces, który wymaga stałego monitorowania, okresowych przeglądów i dostosowywania się do zmieniających się oczekiwań regulacyjnych. Zasada rozliczalności wynikająca z art. 5 ust. 2 wymaga, aby mogli Państwo wykazać zgodność w dowolnym momencie, a nie tylko osiągnąć ją jednorazowo.

Proszę rozpocząć od analizy luk w tych 12 mechanizmach kontrolnych. Proszę ustalić priorytety działań naprawczych w oparciu o ryzyko i opracować mapę drogową zgodności z kwartalnymi kamieniami milowymi. W przypadku MŚP, które nie posiadają własnej wiedzy specjalistycznej w zakresie ochrony danych, zaangażowanie specjalistycznej firmy konsultingowej może przyspieszyć osiągnięcie zgodności z przepisami, jednocześnie zmniejszając ryzyko kosztownych działań egzekucyjnych.

Koszty nieprzestrzegania przepisów (do 20 mln EUR lub 4% globalnego rocznego obrotu zgodnie z art. 83 ust. 5) znacznie przekraczają inwestycje wymagane do zbudowania solidnego programu ochrony danych. Proszę rozpocząć swoją podróż w kierunku zgodności już dziś.