Na stronie internetowej francuskiego organu ochrony danych CNIL pojawiła się informacja o serii audytów podmiotów przetwarzających, przeprowadzonych przez europejskie organy nadzorcze, będące członkami sieci GPEN (Światowej sieci ds. egzekwowania prywatności).
CNIL przedstawił zarówno wnioski płynące z kontroli przeprowadzanych we Francji, które obejmowały podmioty świadczące usługi informatyczne, jak i łączne wnioski z kontroli przeprowadzonych w innych państwach. Poniżej znajduje się tłumaczenie fragmentów informacji, która w języku francuskim jest dostępna tutaj: https://www.cnil.fr/fr/sweep-2018-premieres-tendances-sur-la-responsabilisation-des-sous-traitants-informatiques-lheure-du.
Tzw. „sweep day” to wspólna akcja organów ochrony danych, będących członkami grupy GPEN, której celem jest przeprowadzenie audytu działań lub obszarów, które mają związek z ochroną danych osobowych.
Ogólna tematyka w 2018 r. skupiała się na zwiększeniu świadomości odpowiedzialności podmiotów w obszarze ochrony danych osobowych. 18 organów ochrony danych z całego świata oceniło w tych ramach wewnętrzne narzędzia organizacji wdrożone w celu zagwarantowania optymalnego poziomu ochrony przetwarzanych danych. CNIL zdecydował się szczególnie zainteresować dostawcami usług informatycznych. Obserwacje CNIL poczynione na poziomie krajowym dotyczą właśnie tych dostawców.
Kluczowa rola podmiotów przetwarzających
Podmioty przetwarzające posiadają obecnie szczególny status, nadany im przez RODO. Mają w szczególności obowiązek doradzania administratorowi w kwestii bezpieczeństwa. Z tego względu bardzo ważne jest, aby te podmioty w pełni przyjęły nowe ramy prawne. Jest to jeszcze ważniejsze w sytuacji, gdy wiele podmiotów posługuje się ochroną danych w swoim przekazie reklamowym wobec klientów oraz przyszłych klientów.
Aby ułatwić to podejście, CNIL proponuje profesjonalistom narzędzia wspomagające zapewnienie zgodności, poprzez publikację zasobów takich jak: poradnik dla podmiotów przetwarzających (w języku francuskim) czy praktyczny poradnik zwiększania świadomości odnośnie RODO przeznaczony dla małych oraz średnich przedsiębiorstw (w języku francuskim). CNIL zachęca również spółki do powołania inspektora ochrony danych (IOD), który mógłby im doradzać oraz pomagać w zapewnieniu zgodności.
To właśnie z tego powodu, w ramach „Sweep day” w 2018 r. CNIL w szczególności zajął się mechanizmami wdrożonymi przez podmioty przetwarzające w odpowiedzi na ich nowe obowiązki wynikające z wejścia w życie RODO: doprecyzowania ról stron umowy, przejrzystości, rozliczalności, bezpieczeństwa, zapewniania wsparcia, etc. Celem było w szczególności zmierzenie poziomu dojrzałości w obszarze ochrony danych osobowych odpowiednich podmiotów. Audyt ten, który przyjął formę pisemnego kwestionariusza został zorganizowany za pomocą panelu, w którym uczestniczyło 24 organizacji: dostawców usług komputerowych oraz hostingowych, usytuowanych na terytorium francuskim, obejmującego zarówno bardzo małe wyspecjalizowane podmioty jak i duże organizacje oferujące większą gamę usług. Audyt ten pozwolił naświetlić pewne dobre praktyki jak również miejsca, gdzie możliwa jest poprawa.
Dobre praktyki stwierdzone podczas przeprowadzonych weryfikacji są następujące:
- wszystkie zapytane organizacje przeprowadziły analizę w celu określenia konieczności wyznaczenia inspektora ochrony danych
- znaczna większość przedsiębiorstw przeanalizowała również kwestię ich statusu względem RODO; aby określić swoją rolę jako podmiotu przetwarzającego lub administratora;
- duże organizacje wprowadziły udokumentowane oraz wyczerpujące procedury w celu rozprzestrzeniania kultury ochrony danych;
- najbardziej zaawansowane organizacje wprowadziły ochronę danych w fazie projektowania do swoich metodologii zarządzania projektami;
- większość audytowanych organizacji zadeklarowało podjęcie działań mających na celu uwrażliwienie swoich pracowników na ochronę danych, poprzez dokumentację aż po szkolenia;
Obszary w których możliwa jest poprawa zidentyfikowane podczas kontroli są następujące:
- niektóre przepytane organizacje nie wprowadziły żadnej procedury zarządzania incydentami bezpieczeństwa;
- niewiele podmiotów wspierało swoich klientów w przeprowadzeniu analizy wpływu na ochronę danych osobowych (DPIA) ani w procedurze odpowiedzi na pytania osób, których dane dotyczą, dotyczących wykonania ich praw.
Podsumowując, przeprowadzone działania pozwalają stwierdzić, że sektor dostawców usług informatycznych, jest ogólnie świadomy ewolucji wynikającej z RODO. Wynika to m. in. z wprowadzenia do agendy skutecznych oraz spójnych działań.
Wydaje się jednak, że istnieje jeszcze miejsce na poprawę, w szczególności w odniesieniu do wprowadzenia spójnych oraz skutecznych narzędzi oraz udokumentowanych procedur. Poprawa ta musi koniecznie nastąpić, w celu poszanowania wymogów nowych ram prawnych.
Tendencje zaobserwowane na poziomie międzynarodowym
W ramach operacji „Sweep” przeprowadzono audyty w 356 organizacjach w 18 krajach. Organy ochrony danych w większości zdecydowały się skoncentrować na określonych sektorach. Jednakże przeprowadzone sprawdzenia pozwalają na sformułowanie następujących ogólnych wniosków:
- większość sprawdzonych organizacji ustanowiło zespół dedykowany zapewnieniu zgodności z prawem ochrony danych;
- organizacje przeprowadzały najczęściej początkowe szkolenie w celu zwiększenia świadomości swoich pracowników w kwestii ochrony danych, jednakże nie aktualizowały wiedzy pracowników na ten temat;
- organizacje mają trudności we wprowadzeniu wewnętrznych mechanizmów kontroli. Prawie jedna czwarta z nich nie wprowadziła takich mechanizmów;
- ponad połowa audytowanych organizacji wprowadziła dokumentacje jak również mechanizm śledzenia incydentów bezpieczeństwa, jednakże niektóre z nich nie wprowadziły procedury odpowiadania na te incydenty;
- niektóre organizacje nie przewidziały środków rozpatrywania skarg oraz żądań wykonania praw przez osoby, których dane dotyczą.
Ustalenia te, podobne do ustaleń poczynionych przez CNIL we Francji, wskazują, że w wielu sektorach wzięto pod uwagę zasady RODO, chociaż w przypadku wielu podmiotów istnieje duże pole do poprawy.