Audyt RODO w organizacji – część 2

Dowiedz się, jakich narzędzi należy użyć do wykonania audytu zgodności z RODO, na jakie pytania powinien odpowiedzieć, jak przeprowadzić mapowanie procesów RODO i co powinien zawierać raport z przeprowadzonego audytu

Skuteczne wdrożenie polityki RODO w organizacji zależy od szeregu działań poprzedzających, którymi jest m.in. przeprowadzenie audytu zgodności z RODO oraz sporządzenie z niego raportu. Dopiero po przeprowadzeniu audytu możliwe jest określenie, jakie dokumenty związane z RODO przygotować, w jaki sposób je zaimplementować oraz jakie działania podjąć, aby w pełni zabezpieczyć firmę przed naruszeniem danych osobowych.  

Narzędzia do przeprowadzenia audytu RODO  

Do przeprowadzenia audytu można wykorzystać rozmaite narzędzia:  

  • ankiety,
  • rozmowy z pracownikami,
  • oględziny miejsc,  
  • wgląd do nośników danych,  
  • kontrolę systemów informatycznych, 
  • przejrzenie dokumentacji.  

W dużych firmach najpopularniejszym narzędziem jest ankieta. Dzięki niej można zbadać potencjalnie dużą grupę odbiorców i przeanalizować zebrane dane pod względem ilościowym, jak i jakościowym. Warto więc zwrócić uwagę, aby była ona odpowiednio zbudowana (pytania zamknięte powinny przeplatać się z otwartymi). Rekomenduje się też wprowadzenie do ankiety pytań kontrolnych, które sprawdzają poprzednio udzielone odpowiedzi. W mniejszych firmach za bardziej zasadne uznaje się przeprowadzenie bezpośredniej rozmowy z pracownikami. 

Na jakie pytania powinien dać odpowiedź audyt RODO? 

Przeprowadzenie audytu zgodności z RODO powinno umożliwić przedsiębiorcom udzielenie odpowiedzi na pytania, które są kluczowe z punktu widzenia Ogólnego rozporządzenia o ochronie danych. Przykładowy zbiór pytań może objąć m.in. następujące kwestie: 

  • jakie działania na danych osobowych i procesy przetwarzania danych osobowych występują w przedsiębiorstwie, 
  • jakie kategorie danych osobowych gromadzimy w ramach codziennej działalności i czy znajdują się pośród nich szczególne kategorie danych osobowych,
  • czy konieczne dla danej firmy jest prowadzenie Rejestru Czynności Przetwarzanych Danych Osobowych, 
  • czy przestrzegamy zasady celu przetwarzania danych osobowych (czy przetwarzamy dane osobowe zgodnie z celem, w którym zostały zebrane), 
  • czy przestrzegamy zasady ograniczenia przechowywania danych osobowych (czy administratorzy danych osobowych nie przechowują danych osobowych dłużej, niż to jest niezbędne do osiągnięcia celów przetwarzania), 
  • czy obecnie stosowane metody ochrony danych osobowych są adekwatne i skuteczne? 
Audyt RODO w organizacji – część 2

Mapowanie procesów a audyt RODO 

Przeprowadzenie audytu RODO pomocne jest w szczególności, gdy przeprowadzamy w firmie tzw. mapowanie procesów przetwarzania danych osobowych. Pojęcie to powiązane jest ze zbieraniem informacji na temat wszystkich czynności i procesów, w ramach których wykorzystywane i przetwarzane są dane osobowe. 

Mapowanie procesów w ramach przeprowadzania audytu RODO powinno rozpocząć się od analizy struktury organizacyjnej firmy. Prześledzenie schematu organizacyjnego jest pomocne w ustaleniu bloków danych, które gromadzone są w ramach poszczególnych komórek organizacyjnych. Procedura ta ma na celu wyodrębnienie zbiorów danych w formie baz, wykorzystywanych w ramach konkretnych procesów przetwarzania. Prowadzi także do uporządkowania i usystematyzowania procesów przetwarzania, które są później opisywane w ramach Rejestru Czynności Przetwarzania Danych Osobowych. 

Zbiór danych stanowi zestaw informacji, który wyróżniony został ze względu na pewne kryteria, np.: kategorie osób, których dotyczą dane (pracownicy, kandydaci do pracy itd.), cel oraz zakres przetwarzania danych osobowych czy też podstawa prawna przetwarzania danych osobowych. Następnym krokiem jest przypisanie do nich istniejących w firmie procesów (np. nawiązanie współpracy czy sprzedaż).  

Dzięki rzetelnie przeprowadzonemu audytowi, w ramach którego wyodrębnione zostaną zbiory danych oraz procesy przetwarzania danych możliwym jest uzyskanie pełnej świadomości tego, co dzieje się z danymi osobowymi w firmie. Pozwala to także na stworzenie Rejestru Czynności Przetwarzania Danych Osobowych, od którego częstokroć rozpoczyna się kontrola UODO. 

Raport z audytu 

Audyt RODO powinien zakończyć się sporządzeniem raportu. W takim dokumencie powinien zostać opisany stan faktyczny istniejący w danej firmie w momencie przeprowadzania audytu. Raport z audytu powinien stanowić sprawozdanie z przeprowadzonej diagnozy stanu zgodności z przepisami Ogólnego rozporządzenia o ochronie danych osobowych. Ważne jest tutaj określenie obszarów problemowych, związanych z danymi osobowymi, wymagających wprowadzenia działań naprawczych. 

W raporcie z audytu mogą się znaleźć na przykład zalecenia dotyczące przygotowywania szkoleń dla personelu, klauzul zgód czy też klauzul dotyczących obowiązku informacyjnego. Sam raport nie będzie jednak zawierał programu szkolenia ani też przykładów konkretnych klauzul. 

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość