Chociaż przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stosowane są od 25 maja 2018 roku i również od tej daty obowiązuje nowa ustawa o ochronie danych osobowych, to z przeprowadzanych audytów przetwarzania danych osobowych wynika, że wielu administratorów wciąż nie dostosowało swojej organizacji do obecnie obowiązującego prawa. Niniejszy artykuł prezentuje najczęstsze wnioski, które nasuwają się po przeprowadzonych audytach.
1) Dokumentacja ochrony danych oparta na przepisach ustawy o ochronie danych osobowych z 1997 roku
Wciąż zdarza się, że audytowana organizacja posada dokumentację stworzoną na gruncie poprzednio obowiązujących przepisów. Jest to sytuacja niedopuszczalna, ponieważ aktualnie administratorzy mają wiele nowych obowiązków, których uprzednio nie było.
2) Brak lub niewłaściwie skontrowane umowy powierzenia przetwarzania danych
W sytuacji, gdy administrator zleca pewne czynności przetwarzania podmiotom zewnętrznym (np. usługi księgowe) przetwarzanie przez podmiot przetwarzający powinno się odbywać na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora. Szczegółowe wymagania, co do treści umowy powierzenia określone zostały w art. 28 ust. 3 RODO. W rzeczywistości bardzo często zdarza się, że administratorzy nie mają podpisanych umów powierzenia z podmiotami, z którymi takie umowy powinny być zawarte lub umowy te nie zawierają wszystkich wymaganych przez prawo elementów. Jest to istotna kwestia, ponieważ Prezes Urzędu Ochrony Danych Osobowych wydawał już decyzje nakładające kary pieniężne, za brak w/w umów lub ich niekompletną treść.
3) Wykorzystywanie przetwarzania danych darmowych poczt elektronicznych zakładanych przez osoby prywatne, na popularnych portalach informacyjnych
Pamiętać należy, że korzystając w pracy z poczty elektronicznej dane przechowywane są na serwerze operatora poczty, z której korzystamy. Jeżeli pracownicy administratora w wiadomościach mailowych wysyłają lub odbierają dane osobowe (czyli dochodzi do ich przetwarzania), a poczta elektroniczna znajduje się na serwerach portalów informacyjnych (zazwyczaj jest darmowa), to faktycznie może następować przekazywanie danych do zewnętrznego podmiotu bez odpowiedniej podstawy prawnej. Zalecane jest, aby skrzynki elektroniczne, z uwagi na zazwyczaj dużą ilość przetwarzanych za ich pośrednictwem danych osobowych, jeżeli administrator chce zlecać tę czynność podmiotowi zewnętrznemu, były zakładane z wykorzystaniem profesjonalnych podmiotów świadczących usługi hostingowe, z którymi zawierane są umowy powierzenia przetwarzania danych osobowych.
4) Brak kopii zapasowych z danymi/ niewłaściwie zabezpieczane kopie
Zdolność systemu do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego to bardzo istotny aspekt, bez którego zapewnienie faktycznego bezpieczeństwa przetwarzania danych osobowych jest niemożliwe. Często zdarza się jednak, że administratorzy nie tworzą żadnych kopii przetwarzanych przez siebie danych, zapisywane kopie nie są właściwie zabezpieczane albo administrator nie weryfikuje w jakikolwiek sposób, czy formowane są one we właściwy sposób.
5) Brak udokumentowanego przeprowadzenia analizy ryzyka
Jedną z najbardziej istotnych zmian dokonanych przez RODO, było wprowadzenie zasady podejścia opartego na ryzyku, która stanowi, że administrator danych lub podmiot przetwarzający powinien zastosować takie środki bezpieczeństwa, jakie w danych okolicznościach przetwarzania minimalizują związane z tym przetwarzaniem ryzyko naruszenia praw i wolności. Analiza ryzyka, po przeprowadzeniu której administrator dobiera zabezpieczenia właściwe do zidentyfikowanych zagrożeń, powinna zostać udokumentowana. Podczas przeprowadzanych audytów bardzo często okazuje się, że administrator nie przeprowadził właściwej analizy ryzyka albo istniejąca w tym zakresie dokumentacja stanowi jedynie niewypełniony – przykładowy szablon, co biorąc pod uwagę jak istotny jest to obowiązek, wiąże się ze sporym ryzykiem dla administratora.