Czy jest potrzebny ?
Jeśli tak, to jak często powinien być przeprowadzony?
Od wejścia RODO minęły już ponad trzy lata, kiedy to w 2018 roku hotelarze stanęli przed wyzwaniem w postaci wdrożenia przepisów wynikających z ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (nazywanego w skrócie RODO).
Część hotelarzy zdecydowała się na zatrudnienie kancelarii prawnych, inni skorzystali z mniej lub bardziej profesjonalnych szkoleń, niektórzy kupili „uniwersalne szablony” dokumentacji w Internecie, a wiele obiektów po prostu zignorowało przepisy zakładając, że nikt nigdy ich nie skontroluje. Niektórzy postanowili zrzucić z siebie odpowiedzialność zatrudniając inspektora ochrony danych (IOD). Jednakże zatrudnienie IOD nie zwalnia z odpowiedzialności Administratora Danych.
Rola i zadania IOD są określone w art. 39 RODO i należy pamiętać że IOD nie może wdrażać RODO w przedsiębiorstwie, a później kontrolować stan jego wdrożenia.
IOD wspiera Administratora Danych ale go nie zastępuje.
Czas pokazał, że do prawidłowego wdrożenia RODO nie wystarczą tylko i wyłącznie kompetencje prawnicze, które związane są przede wszystkim ze stanem prawnym. Okazało się, że są potrzebne również innego rodzaju kompetencje, takie jak wiedza informatyczna, znajomość kultury organizacyjnej hotelu, a przede wszystkim kompetencje związane ze znajomością specyfiki branży w ramach której dochodzi do przetwarzania danych osobowych.
Jednym z elementów wdrożenia RODO jest przeprowadzenie szkoleń dla pracowników hotelu z zakresu ochrony danych. Żeby dobrze przeprowadzić szkolenie dla pracowników należy mówić do nich ich językiem i używać sformułowań, z którymi spotykają się na co dzień.
Niewielu prawników (przynajmniej z grona które znam) sprawnie orientuje się w terminologii jak PMS, booking engine, OTA i tym podobne.
Podczas szkoleń nie chodzi o to, by straszyć karami, ale aby na przykładach z życia wziętych odnosić się do sytuacji, które na co dzień mogą zdarzyć się w hotelu. Słuchacze wtedy identyfikują się z prawdziwymi problemami, a szkolenie jest efektywne.
Administratorzy danych, zwykle właściciele obiektów, nie rozumiejąc zawiłości związanych z wdrożeniem RODO, zrzucili to na podwładnych jako kolejne zadanie do wykonania. Powstały więc dokumentacje różnej jakości, zostały przeprowadzone szkolenia, a uspokojeni dyrektorzy lub prezesi spółek mogli poczuć się bezpiecznie przeświadczeni, że wszystko jest w porządku.
Mamy więc dziś sytuację, kiedy segregator z dokumentacją stoi na półce, a z osób obecnie zatrudnionych mało kto zapoznał się z polityką bezpieczeństwa, że nie wspomnę o nowo zatrudnionych osobach, które nie zostały nawet przeszkolone w zakresie ochrony danych.
Często spotykam się z sytuacjami, kiedy osoby wyznaczone do ochrony danych w hotelu w 2018 roku już w nim nie pracują. Główną przyczyną która spowodowała sporą rotację pracowników branży hotelarskiej stał się COVID19.
Okresowy audyt dokumentacji i procedur mających na celu ochronę danych.
Zgodnie z Artykułem 24 RODO „administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”
Możemy wyróżnić następujące rodzaje audytów:
Każdy proces, procedurę czy dokumentację należy okresowo zweryfikować, czy nie zdezaktualizowała się. Przepisy* nie wskazują co jaki okres należy przeprowadzić taką weryfikację, jednak dobrą praktyką jest (i ja osobiście zalecam), aby taką weryfikację przeprowadzać nie rzadziej niż raz w roku lub za każdym razem gdy nastąpią istotne zmiany mające wpływ na przetwarzanie danych.
Taką zmianą może być powierzenie danych nowemu procesorowi, zmiana procesu lub zupełnie nowy proces przetwarzania danych. Na przykład może być to zmiana podmiotu świadczącego usługi IT, obsługi kadrowo płacowej lub księgowej, czy też wprowadzenie nowego rozwiązania jak zbieranie podpisu Gościa za pomocą tabletu w procesie Check In.
COVID 19 spowodował, że hotele zaczęły gromadzić i przetwarzać dane o stanie zdrowia Gości hotelowych, zaliczane do szczególnych kategorii danych osobowych wskazanych w Art. 9 RODO. Jest to nowa czynność której nikt nie przewidywał w 2018 roku podczas wdrażania RODO i powinna obecnie zostać ujęta w rejestrze czynności przetwarzania danych.
Podobnie z jest z obsługą PPK które zostały wprowadzone już po wejściu RODO, a przekazywanie niektórych danych pracownika podmiotowi zarządzającemu PPK wymaga zgody samego beneficjenta PPK.
Nie zawsze jednak pracownik hotelu, dla którego ochrona danych jest tylko dodatkowym elementem w zakresie obowiązków, jest w stanie poradzić sobie z taką weryfikacją.
Dlatego warto zwrócić się do zewnętrznego podmiotu lub osoby, która ma specjalistyczną wiedzę zarówno z zakresu RODO, jak i znajomości branży HORECA, która przeprowadzi raz na jakiś czas taki zewnętrzny audyt.
Zdarza się również audyt zewnętrzny, kiedy Hotel jest audytowany przez swojego partnera.
Przykładem może być hotel sieciowy, który jest audytowany przez swojego franczyzodawcę.
Podmiot o silniejszej pozycji (zwykle z własnym działem compliance** ), aby upewnić się że franczyzobiorca spełnia wszystkie standardy, przeprowadza audyt. Celem audytu jest wskazanie ewentualnych niedociągnięć i obszarów które należy poprawić. Franczyzodawca dzieląc się swoją wiedzą, ustandaryzowanymi procedurami wspiera franczyzobiorcę.
Ostatni rodzaj audytu, to audyt przeprowadzany przez Hotel w stosunku do podmiotu przetwarzającego. Obowiązek przeprowadzenia takiego audytu wynika wprost z zapisów RODO.
Ponieważ administrator ma obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych (ART. 28 pkt 1 RODO), powinien również okresowo weryfikować swoich procesorów.
Mówi o tym ART. 28 pkt 3 RODO ppkt h: „Podmiot przetwarzający (…) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.”
Biorąc pod uwagę, że różna jest wielkość podmiotów przetwarzających i czasami są one zdecydowanie większe od Administratora danych, trudno jest w nich przeprowadzać audyty.
Niemniej jednak to głównie Administrator jest karany za wszelkie incydenty, które wynikły z winy podmiotów przetwarzających, lub podprocesorów ***.
Z doświadczenia wiem, że 99% Administratorów nie ma pojęcia o istnieniu podprocesorów, którzy mają dostęp do powierzonych przez nich danych osobowych.
Dlatego, oprócz przeprowadzenia audytu w Hotelu, należy okresowo przeprowadzać audyt w podmiotach przetwarzających. Ponieważ nie zawsze jest to łatwe zadanie dla Administratora danych, to można je spełnić choćby w minimalnym stopniu wysyłając do podmiotów przetwarzających ankietę kontrolną zawierającą pytania zadawane podczas audytu.
Taki audyt również motywuje podmiot przetwarzający do działania i weryfikacji własnych procedur w zakresie przetwarzania danych.
Korzyści z przeprowadzenia audytu to przede wszystkim uzyskanie obiektywnych i niezależnych informacji, oraz ocena spełnienia wymogów prawa. To również identyfikacja i ocena ryzyk, a także identyfikacja procesów, które wymagają doskonalenia lub mogą być doskonalone.
Przy okazji audytu można dowiedzieć się wielu rzeczy o przedsiębiorstwie. Można np. odkryć, że przechowuje się bardzo dużo zbędnej dokumentacji, którą dawno powinno się już zniszczyć, albo że marnuje się czas na pozyskiwanie i przetwarzanie danych, które nie są nikomu do niczego potrzebne, ale “zawsze się tak robiło”. Nierzadko też w trakcie audytu rzucają się w oczy braki sprzętowe i przestarzałe procedury, które niewielkim nakładem sił i środków, oraz przy zastosowaniu nowoczesnych rozwiązań, mogą być szybko naprawione i w takich wypadkach audyt stanowi silny impuls modernizacyjny.
Wiedza uzyskana w trakcie rzetelnego audytu RODO może stanowić punkt wyjściowy do podjęcia decyzji modernizacyjnych w sferze organizacyjnej, infrastruktury technicznej czy procedur i polityk wewnętrznych.
Pierwszym i najważniejszym efektem audytu jest oczywiście pełne i dobrze wykonane wdrożenie RODO, które z pewnością będzie zauważalne zarówno przez klientów jak i biznesowych partnerów. Dodatkowo w wyniku przeprowadzenia audytu następuje zwiększenie motywacji pracowników do prawidłowego działania, a co za tym idzie poprawa wyników całej organizacji. W przypadku kontroli ze strony organu nadzorczego,, wykazanie że były przeprowadzane okresowe audyty pokazuje dbałość ze strony Administratora o ochronę danych w przedsiębiorstwie. Jest to również czynnik który może mieć znaczący wpływ na obniżenie kary w przypadku zaistnienia incydentu bezpieczeństwa.
* Obowiązek zapewnienia okresowego (lecz nie rzadziej niż raz na rok) audytu wewnętrznego w zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym dla podmiotów publicznych wprowadził § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: rozporządzenie w sprawie systemów teleinformatycznych).
** Compilance oznacza „spełnienie”, co w praktyce oznacza zgodność z istniejącymi przepisami prawnymi. Przedsiębiorstwo, które wprowadza do swojej działalności model compliance, nie tylko zobowiązuje się do stosowania określonych rozwiązań, lecz również do tego, że firma będzie funkcjonowała zgodnie z przepisami prawa. Takie działanie przedsiębiorstwa ma chronić przedsiębiorstwo przed karami czy stratami pieniężnymi w razie wystąpienia problemów wynikających z np. naruszenia przepisów prawa.
*** Podprocesor to podmiot, któremu podmiot przetwarzający zleca podpowierzenie danych przekazanych przez Administratora. Przykładem może być dostawca usług chmurowych dla dostawcy booking engin-u. (Mało kto z hotelarzy wie że pożar serwerowni OVH w Strasburgu świadczącego usługi dla jednego z dostawców stron internetowychi booking engin-u w marcu tego roku spowodował przez kilka dni problemy z dostępnością i utratę części ich danych).
Maciej Kopeć
Specjalista z zakresu ochrony danych osobowych
