Audyt RODO w organizacji
– część 1

Dowiedz się, w jaki sposób prawidłowo przeprowadzić audyt zgodności z RODO

Rzetelnie przeprowadzony audyt jest w stanie wykazać mocne i słabe strony ochrony danych osobowych w firmie. Stanowi także punkt wyjścia do podjęcia odpowiednich działań prewencyjnych lub naprawczych. Świadomość tego, co w danym przedsiębiorstwie należy zmienić jest najważniejszym krokiem do uzyskania zgodności z RODO i uniknięcia wysokich kar. 

Czym jest audyt RODO? 

Z przepisów RODO nie wynika wprost wymóg przeprowadzania audytu zgodności. Obowiązkowym jest jednakże regularne dokonywanie przeglądów oraz oceny skuteczności wdrożonych zabezpieczeń (art. 24 ust. 1, art. 32 ust. 1 lit. d RODO oraz motyw 39). Służyć temu może audyt zgodności z RODO. Co do form przeglądów i ocen – przepisy pozostawiają w tym względzie swobodę administratorom danych osobowych. 

RODO w art. 5 wprowadza tzw. zasadę rozliczalności. Zgodnie z nią administrator danych odpowiedzialny jest nie tylko za przestrzeganie zasad dotyczących przetwarzania danych osobowych. Musi on być również w stanie to wykazać. Audyt zgodności z RODO oraz powstały na jego bazie raport należy uznać więc za narzędzia najbardziej adekwatne do oceny respektowania przepisów dotyczących ochrony danych osobowych. 

Audyt RODO jest pierwszą czynnością, którą należy wykonać w organizacji, gdy dostosowuje się ją do wymogów RODO. Ponadto jest to najlepsza weryfikacja bezpieczeństwa informacji, jakie gromadzone są w danej firmie. 

Na czym polega?  

Nie istnieje jeden uniwersalny wzór na przeprowadzenie audytu zgodności z RODO. Plan audytu dopasowywany jest do konkretnej organizacji, a także do specyfiki jej działalności i całej branży. Tym, co ustala się na początku jest jego termin, miejsce, wykorzystywane metody i cena. Zwykle audyt RODO dzieli się na 3 etapy: 

  1. zebranie informacji o przetwarzaniu danych osobowych w przedsiębiorstwie na podstawie ustalonego harmonogramu (np. poprzez rozmowę, obserwację czy przegląd dokumentów; to także czas na zweryfikowanie wdrożonych zabezpieczeń środków technicznych i organizacyjnych, sprawdzenie aktualizacji zabezpieczeń komputerów i urządzeń mobilnych, sposobów szyfrowania danych i przeciwdziałania ich wyciekom oraz sprawdzenie planu działania w razie ewentualnej awarii i utraty gromadzonych danych), 
  2. analiza i weryfikacja informacji (porównanie stanu rzeczywistego z wymaganiami RODO); to także czas na wnioski i raport z przeprowadzonego audytu (podsumowanie ze wskazaniem obszarów do poprawy w kwestii gromadzenia, przechowywania oraz rozpowszechniania danych osobowych), 
  3. zaproponowanie nowych rozwiązań i ich ewentualne wdrożenie (zalecenia i konkretne działania do wprowadzenia w danym przedsiębiorstwie). 
Audyt zgodności z RODO

Kiedy powinno się przeprowadzić audyt RODO? 

Audyt zgodności z RODO nie jest i nie powinien być czynnością jednorazową. Powinien zostać przeprowadzony zarówno przed wdrożeniem polityki RODO w firmie, jak i po implementacji adekwatnych procedur. Jest to związane z tym, że każdy podmiot, który przetwarza dane osobowe powinien na bieżąco monitorować przyjęte w tym zakresie rozwiązania. Ocena ta powinna być prowadzona pod kątem ich prawidłowości, adekwatności, aktualności oraz celowości. 

Podejście do ochrony danych wynikające z polityki RODO zobowiązuje przedsiębiorstwa do aktywnej postawy, skutkującej niezwłoczną reakcją na zmieniające się warunki przetwarzania danych. Kwestia ta dotyczy w szczególności zakresu, celu, czy też kręgu odbiorców danych osobowych. Efektem tego powinno być stosowanie środków bezpieczeństwa i procedur, które będą odpowiednie do pojawiających się zagrożeń. 

Rodzaje audytów RODO 

Ze względu na moment przeprowadzania audytu RODO można wyróżnić jego dwa rodzaje: 

  1. audyt wstępny (przeprowadzany jest w firmie, w której do tej pory nie wdrożono RODO lub też u przedsiębiorcy, który planuje rozpoczęcie nowej działalności gospodarczej; zazwyczaj prowadzi do przygotowania i wdrożenia od podstaw niezbędnych procedur); 
  2. audyt okresowy (bywa także nazywany audytem powdrożeniowym; przeprowadzany jest zazwyczaj w cyklach rocznych; jego głównym celem jest kontrola skuteczności przyjętych środków bezpieczeństwa danych osobowych, jak również sprawdzenie sposobu wdrożenia przyjętej dokumentacji oraz przeszkolenie personelu w zakresie zmieniających się warunków przetwarzania danych osobowych). 

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość