STAN PRAWNY NA 2 STYCZNIA 2023 Audyt z zakresu ochrony danych osobowych Opracował Michał Łyszczarz, prawnik, autor komentarza do Ustawy o systemie oświaty oraz licznych publikacji z zakresu prawa oświatowego, prawa pracy, finansów publicznych i funkcjonowania samorządu terytorialnego, uznany prelegent i szkoleniowiec, wykładowca toruńskiej i bydgoskiej Wyższej Szkoły Bankowej, główny specjalista w Wydziale Oświaty w Urzędzie Miasta w Dąbrowie Górniczej, przez lata tworzył trzon Wydziału Nadzoru Prawnego Śląskiego Urzędu Wojewódzkiego Podstawa prawna: • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. z 2016 r. Nr 119 poz. 1), • Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2022 r. poz. 1634 ze zm.). Pojęcie audytu pojawia się przede wszystkim w Ustawie o finansach publicznych i chociaż audyt z zakresu ochrony danych osobowych, czyli ogólnie audyt zgodności z RODO, nie dotyczy bezpośrednio czynności wykonywanych w ramach gospodarowania środkami publicznymi, to jednak warto odnieść się do definicji audytu, jaka w tej Ustawie się znajduje. Zgodnie z art. 272 audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. W przypadku audytu z zakresu ochrony danych osobowych, czyli audytu zgodności z RODO, niezależność i obiektywność można osiągnąć, powierzając audyt podmiotowi zewnętrznemu, a taki walor ma np. inspektor ochrony danych (IOD), niezatrudniony w strukturze organizacyjnej placówki. Celem tego rodzaju audytu będzie wspieranie dyrektora w ocenie, czy przestrzegane są wymogi RODO w zakresie zasad przetwarzania danych. WAŻNE! Audyt zgodności z RODO stanowi element kontroli zarządczej. Podobnie jak audyt finansowy ma na celu wykrycie niezgodności z procedurami oraz ewentualnych zagrożeń dla funkcjonowania jednostki, szczególnie takich, które mogłyby zakończyć się wyciekiem danych osobowych, błędami przetwarzania itd., czyli grozić nałożeniem na jednostkę kary finansowej w związku z niezgodnym z prawem postępowaniem z danymi osobowymi. Z takiego stanu rzeczy wypływa dość oczywisty wniosek, że rolą audytu jest wzmocnienie kontroli zarządczej i umożliwienie kierownikowi jednostki, w tym przypadku dyrektorowi jednostki systemu oświaty, sprawne i efektywne zarządzanie nią w oparciu o powstałe w ten sposób spostrzeżenia płynące z ocen zawartych w wynikach audytu wewnętrznego. Charakteryzując cel audytu, warto wspomnieć, iż ustawodawca wskazał miejsca, w których audyt ma rację bytu. Określił to w treści art. 274 Ustawy o finansach publicznych, wymieniając imiennie lub rodzajowo jednostki, w których audyt prowadzony jest obligatoryjnie z mocy ustawy. Przytoczyć tu można ust. 4 tej regulacji, zgodnie z którym audyt wewnętrzny prowadzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego. Przepis ten dotyczy wyłącznie audytu finansowego, natomiast w praktyce wskazuje, że to dyrektor podejmuje decyzję o przeprowadzeniu audytu wewnętrznego. Taka sama zasada obowiązuje w odniesieniu do audytu zgodności z RODO, z tym że należy rozszerzyć zakres jednostek podlegających temu audytowi w stosunku do zakresu wymienionego w Ustawie, która co do zasady odnosi się do jednostek sektora finansów publicznych. Zaliczamy do nich również jednostki budżetowe, a więc formy organizacyjno-prawne, w których prowadzone są placówki oświatowe, ale wyłącznie te, dla których organem prowadzącym są jednostki samorządu terytorialnego. Tymczasem audyt zgodności z wymaganiami RODO nie może być przeprowadzany wyłącznie w nich, ponieważ również niesamorządowe publiczne i niepubliczne szkoły przetwarzają dane osobowe i mają obowiązek powołania inspektora ochrony danych. Inspektor ochrony danych Podmiotem przeprowadzającym audyt może być IOD. Zgodnie z założeniami RODO zawsze posiada on niezbędne kwalifikacje do przeprowadzenia tego typu czynności, takie są bowiem wymagania formalne stawiane przez inspektorem. Chodzi tu przede wszystkim o treść art. 38 ust. 2 RODO, stosownie do którego administrator oraz podmiot przetwarzający wspierają inspektora w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Jakkolwiek IOD wydaje się podmiotem najbardziej uprawnionym do przeprowadzenia audytu zgodności z RODO, to jednak żadna regulacja nie stanowi wprost, że to wyłącznie on może taki audyt przeprowadzić. Należy tu zwrócić uwagę na treść art. 39 ust. 1 RODO, w myśl którego IOD ma następujące zadania: • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego Rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie, • monitorowanie przestrzegania niniejszego Rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty, • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania, • współpraca z organem nadzorczym, • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. Ocena skutków poszczególnych działań dla ochrony danych i monitorowanie ochrony danych należą zatem do IOD-a. Jest on naturalnym wyborem do przeprowadzenia audytu, ale dyrektor może powołać do tego własny zespół. Plan audytu Podstawą audytu musi być jego plan. Można jego utworzenie powierzyć IOD-owi, ale dyrektor może również stworzyć własny plan audytu lub wskazać IOD-owi jedynie podstawowe kwestie, którymi audyt powinien się zająć. W tym zakresie warto zauważyć, że rolą audytu w sytuacji epidemiologicznej było np. ustalenie, czy środki techniczne, używane w celu komunikacji na odległość na potrzeby zajęć zdalnych, zapewniały wystarczającą ochronę danych osobowych przesyłanych w ten sposób. Nie ma przy tym znaczenia, że obecnie placówki prowadzą zajęcia w trybie stacjonarnym, bowiem zadaniem audytu jest odpowiedzieć na pytanie, czy obecne środki zabezpieczenia danych zdadzą również egzamin w przyszłości. Uzasadnieniem dla badania zabezpieczenia danych osobowych była również możliwość prowadzenia zdalnych posiedzeń rad pedagogicznych. W trakcie takich posiedzeń podejmowane były tematy związane bezpośrednio z przetwarzaniem danych osobowych nauczycieli i dzieci, w tym przetwarzaniem danych szczególnej kategorii, czyli danych wrażliwych. W takcie posiedzeń rady podejmowane były tematy związane z np. z orzeczeniami i opiniami. Prawidłowe zabezpieczenie tych danych przed utratą w trakcie korzystania ze środków komunikacji elektronicznej było kluczowe dla zapewnienia prawidłowego funkcjonowania placówki. WAŻNE! Istotne jest ustalenie priorytetów, wybranie obszarów audytu, które są szczególnie ważne dla administratora i w obecnej sytuacji wiążą się z ryzykiem naruszenia ochrony danych osobowych. Narzędzia i pytania audytowe Każdy audyt przeprowadzany jest w oparciu o specyficzne narzędzia i przy użyciu właściwej dla danego badania metodologii. W przypadku badania zgodności zasad przetwarzania danych z wymogami RODO można wykorzystać szereg przydatnych instrumentów, wśród których można wskazać ankiety dostępne dla rodziców i pracowników placówki, wywiady z pracownikami, oględziny, badanie nośników informatycznych czy wreszcie wgląd w dokumentację, prowadzoną zarówno w formie papierowej, jak i elektronicznej. Przeprowadzony audyt powinien odpowiedzieć na kilka podstawowych pytań. Pierwszym z nich jest pytanie o to, czy zakres przetwarzanych przez administratora danych osobowych ma charakter minimalny. Zasada mówiąca o przetwarzaniu jedynie minimalnej liczby danych wynika z regulacji art. 5 RODO, który wskazuje właśnie podstawowe zasady przetwarzania danych. Zgodnie z tą regulacją dane osobowe muszą być: • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”), • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane, w myśl art. 89 ust. 1, za niezgodne z pierwotnymi celami („ograniczenie celu”), • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”), • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”), • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego Rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”), • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Z przepisu tego wynika zasada adekwatności przetwarzanych danych. Od właściciela danych lub osoby w imieniu właściciela występującej, czyli rodziców, można żądać wyłącznie tych danych, które są niezbędne do wykonania danego zadania. Kolejne pytanie, na które musi odpowiedzieć audyt, dotyczy tego, czy został spełniony obowiązek informacyjny, ten zaś wynika z treści art. 13 RODO i według tej regulacji administrator, czyli dyrektor placówki, podczas zbierania danych osobowych powinien podać m.in.: • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela, • dane kontaktowe inspektora ochrony danych – gdy ma to zastosowanie, • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (takim odbiorcą danych są kuratorzy – organy nadzoru pedagogicznego), • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu, • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, • informacje o prawie wniesienia skargi do organu nadzorczego, • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. WAŻNE! Obowiązek informacyjny względem pracowników powstaje w momencie nawiązania stosunku pracy lub w momencie, gdy stał się wymagany przez wejście w życie RODO – w zależności od tego, co nastąpiło pierwsze. Kolejna kwestia, jaką należy rozpatrzyć, dotyczy tego, jakimi danymi dysponuje placówka, oraz ewentualnego zmodernizowania zasad ochrony. Pamiętać należy, że ochrona obejmuje zarówno narzędzia informatyczne, jak i programy antywirusowe, ale też procedury i zabezpieczenia mechaniczne. Procedury to zasady postępowania z danymi, np. ograniczenie prawa dostępu do SIO wyłącznie do wyraźnie wskazanego pracownika i na wydzielonym, odpowiednio zabezpieczonym stanowisku pracy. Zabezpieczenia mechaniczne będą natomiast dotyczyć np. dokumentacji w formie papierowej i obejmować szafy zamykane na klucz, do którego dostęp ma tylko dyrektor. Audytor powinien zbadać także treść zgód na przetwarzanie danych pod kątem ich zgodności z prawem oraz prawidłowość prowadzenia rejestru czynności przetwarzania danych. Badanie powinno obejmować zasady szczególne ochrony danych, np. ich anonimizację czy pseudonimizację. Podsumowanie Audyt zgodności jest narzędziem, które ułatwia dyrektorowi ustalenie, czy placówka spełnia wymogi dotyczące ochrony danych osobowych, a co za tym idzie, czy jest bezpieczne przed zarzutami o naruszenie tej ochrony, nie jest on jednak obligatoryjny. Wyłącznie dyrektor decyduje o tym, czy taki audyt przeprowadzić i w jakim czasie oraz jakie kwestie poddać ocenie. Niezależnie od tego, czy przepisy wymagają audytu, czy też nie, podkreślić należy, że jest to narzędzie bardzo przydatne i w razie wycieku danych pozwolić może na odsunięcie odpowiedzialności za takie naruszenie – daje dowód na to, że dyrektor dochowuje wszelkiej staranności, dbając o zapewnienie bezpieczeństwa danych.