GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Seria audytów podmiotów przetwarzających, przeprowadzona przez europejskie organy ochrony danych w ramach sieci GPEN

Seria audytów podmiotów przetwarzających, przeprowadzona przez europejskie organy ochrony danych w ramach sieci GPEN

Na stronie internetowej francuskiego organu ochrony danych CNIL pojawiła się informacja o serii audytów podmiotów przetwarzających, przeprowadzonych przez europejskie organy nadzorcze, będące członkami sieci GPEN (Światowej sieci ds. egzekwowania prywatności).

CNIL przedstawił zarówno wnioski płynące z kontroli przeprowadzanych we Francji, które obejmowały podmioty świadczące usługi informatyczne, jak i łączne wnioski z kontroli przeprowadzonych w innych państwach. Poniżej znajduje się tłumaczenie fragmentów informacji, która w języku francuskim jest dostępna tutaj: https://www.cnil.fr/fr/sweep-2018-premieres-tendances-sur-la-responsabilisation-des-sous-traitants-informatiques-lheure-du.

Tzw. „sweep day” to wspólna akcja organów ochrony danych, będących członkami grupy GPEN, której celem jest przeprowadzenie audytu działań lub obszarów, które mają związek z ochroną danych osobowych.

Ogólna tematyka w 2018 r. skupiała się na zwiększeniu świadomości odpowiedzialności podmiotów w obszarze ochrony danych osobowych. 18 organów ochrony danych z całego świata oceniło w tych ramach wewnętrzne narzędzia organizacji wdrożone w celu zagwarantowania optymalnego poziomu ochrony przetwarzanych danych. CNIL zdecydował się szczególnie zainteresować dostawcami usług informatycznych. Obserwacje CNIL poczynione na poziomie krajowym dotyczą właśnie tych dostawców.

Kluczowa rola podmiotów przetwarzających

Podmioty przetwarzające posiadają obecnie szczególny status, nadany im przez RODO. Mają w szczególności obowiązek doradzania administratorowi w kwestii bezpieczeństwa. Z tego względu bardzo ważne jest, aby te podmioty w pełni przyjęły nowe ramy prawne. Jest to jeszcze ważniejsze w sytuacji, gdy wiele podmiotów posługuje się ochroną danych w swoim przekazie reklamowym wobec klientów oraz przyszłych klientów.

Aby ułatwić to podejście, CNIL proponuje profesjonalistom narzędzia wspomagające zapewnienie zgodności, poprzez publikację zasobów takich jak: poradnik dla podmiotów przetwarzających (w języku francuskim) czy praktyczny poradnik zwiększania świadomości odnośnie RODO przeznaczony dla małych oraz średnich przedsiębiorstw (w języku francuskim). CNIL zachęca również spółki do powołania inspektora ochrony danych (IOD), który mógłby im doradzać oraz pomagać w zapewnieniu zgodności.

To właśnie z tego powodu, w ramach „Sweep day” w 2018 r. CNIL w szczególności zajął się mechanizmami wdrożonymi przez podmioty przetwarzające w odpowiedzi na ich nowe obowiązki wynikające z wejścia w życie RODO: doprecyzowania ról stron umowy, przejrzystości, rozliczalności, bezpieczeństwa, zapewniania wsparcia, etc. Celem było w szczególności zmierzenie poziomu dojrzałości w obszarze ochrony danych osobowych odpowiednich podmiotów. Audyt ten, który przyjął formę pisemnego kwestionariusza został zorganizowany za pomocą panelu, w którym uczestniczyło 24 organizacji: dostawców usług komputerowych oraz hostingowych, usytuowanych na terytorium francuskim, obejmującego zarówno bardzo małe wyspecjalizowane podmioty jak i duże organizacje oferujące większą gamę usług. Audyt ten pozwolił naświetlić pewne dobre praktyki jak również miejsca, gdzie możliwa jest poprawa.

Dobre praktyki stwierdzone podczas przeprowadzonych weryfikacji są następujące:

Obszary w których możliwa jest poprawa zidentyfikowane podczas kontroli są następujące:

Podsumowując, przeprowadzone działania pozwalają stwierdzić, że sektor dostawców usług informatycznych, jest ogólnie świadomy ewolucji wynikającej z RODO. Wynika to m. in. z wprowadzenia do agendy skutecznych oraz spójnych działań.

Wydaje się jednak, że istnieje jeszcze miejsce na poprawę, w szczególności w odniesieniu do wprowadzenia spójnych oraz skutecznych narzędzi oraz udokumentowanych procedur. Poprawa ta musi koniecznie nastąpić, w celu poszanowania wymogów nowych ram prawnych.

Tendencje zaobserwowane na poziomie międzynarodowym

W ramach operacji „Sweep” przeprowadzono audyty w 356 organizacjach w 18 krajach. Organy ochrony danych w większości zdecydowały się skoncentrować na określonych sektorach. Jednakże przeprowadzone sprawdzenia pozwalają na sformułowanie następujących ogólnych wniosków:

Ustalenia te, podobne do ustaleń poczynionych przez CNIL we Francji, wskazują, że w wielu sektorach wzięto pod uwagę zasady RODO, chociaż w przypadku wielu podmiotów istnieje duże pole do poprawy.