Artykuł

Raportowanie zgodności w zakresie przepisów o ochronie danych osobowych

Obowiązki dotyczące organizacji i jej stron trzecich w zmieniającym się środowisku regulacyjnym

Zarządzanie Ryzykiem 22.05.2023 r.

Znaczny wzrost globalnych regulacji i nowych aktów prawnych dotyczących ochrony danych osobowych, jak również oczekiwań klientów z tym związanych, zwiększył zakres odpowiedzialności i obowiązków administratorów danych, jak i podmiotów przetwarzających, świadczących usługi w ramach outsourcingu.

W miarę wprowadzania przedmiotowych przepisów w życie, koszty wynikające z niedostosowania się do nich lub kary za ich nieprzestrzegania stale rosną, co skłania organizacje do zachowania zgodności w tym zakresie przy pomocy różnych mechanizmów.

Od czasu wejścia w życie 25 maja 2018 r. unijnego ogólnego rozporządzenia o ochronie danych (GDPR), kwestie ochrony danych osobowych przykuły uwagę opinii publicznej, skłaniając również inne kraje do wprowadzenia podobnych uregulowań, co skutkuje faktem, że aż 137 z 194 krajów z całego świata (71%) wprowadziło stosowne przepisy mające na celu ochronę danych osobowych.¹ W Stanach Zjednoczonych, Kalifornia była pierwszym stanem, który dostosował swoje prawodawstwo w tym zakresie uchwalając the California Consumer Privacy Act (CCPA), który wszedł w życie 1 stycznia 2020 r. Następny był stan Wirginia uchwalając the Consumer Data Protection Act (CDPA). Ich śladem podążyło wiele innych stanów proponując przyjęcie podobnych, kompleksowych rozwiązań prawnych.²

Skutki niezgodności z przepisami

Naruszenie prywatności danych i nieprzestrzeganie przepisów w zakresie ich ochrony niesie za sobą ryzyko m.in. może znacznie zaszkodzić wizerunkowi marki, nadszarpnąć zaufanie klientów czy osłabić pozycję rynkową firmy. Do tego dochodzą wysokie kary finansowe, które mogą zostać nałożone w ramach różnych mechanizmów ochrony danych i prywatności. Przepisy GDPR dopuszczają nałożenie kary przez stosowne organy nadzoru do wysokości 20 milionów euro lub 4% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa. Nieprzestrzeganie przepisów ustawy CCPA uchwalonych przez stan Kalifornia lub CDPA przez stan Wirginia podlega karze w wysokości 7500 USD za każde naruszenie.

Poniżej zestawienie sum kar nałożonych na mocy przepisów GDPR z podziałem na rodzaj naruszenia (źródło: https://www.enforcementtracker.com/?insights):

Rodzaj naruszenia	Wysokość kar
Brak wystarczających podstaw prawnych do przetwarzania danych	171 405 512 € (263 kar)
Brak wystarczających środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji	67 286 519 € (155 kar)
Niezgodność z ogólnymi zasadami przetwarzania danych	29 851 364 € (146 kar)
Nieprzestrzeganie w stopniu wystarczającym praw osoby, której dane dotyczą	16 148 025 € (68 kar)
Niewypełnienie w stopniu wystarczającym wymogów informacyjnych	8 766 395 € (43 kar)
Niewypełnienie w stopniu wystarczającym obowiązku informacyjnego o naruszeniu bezpieczeństwa danych	1 281 091 € (19 kar)
Niewyznaczenie inspektora ochrony danych	219 000 € (7 kar)
Niewystarczająca współpraca z organem nadzoru	207 679 € (32 kary)
Brak stosownych umów o przetwarzanie danych	93 580 € (4 kary)
Nieznany rodzaj naruszenia	500 € (1 kara)

Strony zainteresowane

Za zgodność z przepisami i raportowanie w każdej organizacji powinny odpowiadać osoby do tego wyznaczone, jednakże obowiązek przestrzegania zasad spoczywa na wszystkich stronach, które w jakikolwiek sposób mają styczność z danymi osobowymi.

Administratorzy danych

Wszystkie wymagania zawarte w odpowiednich przepisach z zakresu ochrony danych obowiązują administratorów danych, czyli podmioty, które gromadzą dane osobowe bezpośrednio od osób, których te dane dotyczą. Administratorzy danych decydują o celu i środkach przetwarzania danych, które zgromadzili w ramach uzyskanych zgód na przetwarzanie danych.

Podmioty przetwarzające dane

Podmioty, które przetwarzają dane w imieniu administratorów występują w roli usługodawców i to ich głównie dotyczy raportowanie atestacyjne stron trzecich. Podmioty przetwarzające dane nie mają bezpośrednio do czynienia z osobami, których dane osobowe dotyczą, dlatego też podlegają innemu zestawowi wymogów w ramach regulacji z zakresu ochrony danych.

Zarządy / Inwestorzy

Rada dyrektorów i kierownictwo wyższego szczebla muszą mieć możliwość ustanowienia odpowiedniego nadzoru nad ryzykiem firmy i przestrzeganiem stosownych przepisów, w tym kontroli dotyczącej ochrony danych.

Organy regulacyjne / Organy zarządzające

Przepisy o ochronie danych osobowych, szczególnie GDPR i CCPA wymusiły na podmiotach przetwarzających wprowadzenie stosownych programów przeciwdziałania ryzyku związanym z przetwarzaniem danych.

Klienci

Obecni i potencjalni klienci chcą mieć pewność, że zlecają przetwarzanie danych organizacji, która traktuje ochronę prywatności danych w sposób poważny i profesjonalny i odpowiednio zarządza ryzykiem związanym z powierzeniem przetwarzania danych podmiotowi świadczącemu takie usługi.

Korzyści płynące z raportowania

Raportowanie atestacyjne dotyczące zgodności z przepisami o ochronie danych może przynieść wiele korzyści stronom zainteresowanym poprzez zwiększenie przejrzystości, wykazanie stosowania kontroli w odniesieniu do obszernego zestawu kryteriów/ram kontrolnych oraz niezależnego i obiektywnego raportowania sporządzonego przez podmiot zewnętrzny. Wśród wnoszonych wartości możemy wyróżnić m.in.:

Wzmocnienie reputacji i marki oraz zwiększenie zaufania klientów

Wzmocnienie kontroli bezpieczeństwa i prywatności, w celu zwiększenia zaufania interesariuszy, przy jednoczesnym zmniejszeniu ryzyka utraty reputacji i ryzyka związanego z regulacjami; zwiększenie zaufania klientów poprzez niezależną walidację zgodności organizacji z odpowiednimi normami i ograniczanie ryzyka w sposób proaktywny

Przewaga konkurencyjna

Pozycjonowanie oferty usług jako najlepszej na rynku, co przełoży się na doskonałe rezultaty w RFP/ przetargach ze względu na dodatkową przewagę nad konkurentami, którzy nie spełniają stosownych wymogów

Minimalizacja zakłóceń operacyjnych

Eliminacja konieczności przeprowadzania wielu audytów dla kontrahentów i klientów, które pochłaniają cenny czas i zasoby personelu operacyjnego i serwisowego.

Rodzaje raportów

Dostępnych jest wiele opcji w ramach przedmiotowego raportowania, które można dostosować do potrzeb osób zainteresowanych. Przykładowe z nich przedstawione są poniżej. Raporty oparte są na standardach gromadzenia i wymiany informacji utworzonych przez różne organizacje na świecie. Przykładowo, SOC 2 to międzynarodowy standard powstały z ramienia Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants, AICPA).

SOC 2 Privacy

Podstawowy poziom atestacji w zakresie ochrony danych można uzyskać w ramach raportu SOC 2, który obejmuje 18 kryteriów TSC (Trust Service Criteria – kryteria usług zaufania) w kategorii usług zaufania w zakresie ochrony prywatności (Trust Service Category) ogłoszonych przez AICPA. Regulacje zaadresowane w tym raporcie to: SOC 2 common criteria oraz SOC 2 privacy criteria.

SOC 2+

SOC 2+ stanowi rozszerzenie raportu SOC i umożliwia włączenie dodatkowych ram, takich jak GDPR lub CCPA, aby zapewnić dodatkowy poziom atestacji. Regulacje zaadresowane w tym raporcie to: SOC 2 common criteria, SOC 2 privacy criteria (opcjonalnie), GDPR/CCPA/Inne.

AT-C 205

Dostępny jest również raport AT-C 205, który ma podobny format do raportu SOC 2. Taki raport może również dotyczyć ram ochrony prywatności, takich jak GDPR lub CCPA, bez dodatkowych wymagań dotyczących SOC 2 TSC. Regulacje zaadresowane w tym raporcie to: GDPR/CCPA/Inne.

Od czego zacząć?

Ze względu na szybko zmieniający się charakter przepisów dotyczących ochrony danych oraz różne poziomy zaawansowania programów ochrony prywatności w jednostkach, organizacje powinny rozważyć przeprowadzenie kompleksowej oceny dojrzałości w celu przygotowania kierownictwa do przeprowadzenia atestacji w przyszłości. Należy wziąć pod uwagę nie tylko samą organizację, ale także wszystkie strony trzecie współpracujące z nią. Kompleksowo przygotowane portfolio dostawców połączone z analizą przetwarzania danych osobowych przez wszystkie strony trzecie znacznie zwiększa świadomość i dojrzałość organizacji. Pomaga też efektywnie zarządzać ryzykiem związanym z ochroną danych osobowych, zarządzaniem stronami trzecimi, a co za tym idzie z działaniem i reputacją całej organizacji.

Artykuł napisany na podstawie opracowania przygotowanego przez Deloitte pt.” Third-Party Assurance (TPA) reporting for data privacy”

Przypisy:

¹ https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
² https://iapp.org/resources/article/us-state-privacy-legislation-tracker/

Kontakt:

Anna Dąbrowska

Starsza Konsultantka | Risk Advisory | Extended Enterprise

andabrowska@deloittece.com

Anna posiada 7-letnie doświadczenie zawodowe zdobyte w dużych międzynarodowych organizacjach z sektora finansowego. Jej obszar specjalizacji koncentruje się na zarządzaniu stronami trzecimi, z naciski... Więcej

Alina Tarnowska

Menadżerka | Risk Advisory | Extended Enterprise

atarnowskak@deloittece.com

Alina od 12 lat zajmuje się zagadnieniami z zakresu compliance i zarządzania ryzykiem. Doświadczenie zdobywała pracując dla instytucji finansowych, zarówno w kraju jak i za granicą. Pracowała również ... Więcej

to activtae fullwidth component . Do not delete! This box/component contains JavaScript that is needed on this page. This message will not be visible when page is activated.

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

Forensic, AML i compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowy

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk