Skuteczność i skrupulatność wykazana podczas audytu rzutują na każdy kolejny etap budowania systemu ochrony danych.

RODO kładzie nacisk na zagadnienie jasnego i precyzyjnego określenia celów, w jakich dane są procesowane, a w dalszej kolejności na ograniczenie typów gromadzonych informacji wyłącznie do tych, które są faktycznie niezbędne, aby osiągnąć wcześniej postawione cele.

Etapy przeprowadzenia audytu

1. Wprowadzenie w metodę audytu

Prowadzenie czynności audytowych wymaga obecności pracowników, którym przedstawione są podstawowe informacje dotyczące przetwarzania danych osobowych.

2. Ustalenie procesów przetwarzania danych osobowych

Procesy czynności przetwarzania danych osobowych określa się w ramach każdego procesu biznesowego, w którym wykorzystuje się lub generuje dane osobowe.

3. Weryfikacja i ocena dokumentacji

  • klauzule informacyjne
  • treści zgód
  • umowy / regulaminy pod kątem przetwarzania danych osobowych
  • procedury / upoważnienia / oświadczenia

4. Wizja lokalna

Zapoznanie się ze środowiskiem pracy oraz warunkami, w jakich odbywa się przetwarzanie danych osobowych (np. systemy kontroli dostępu, przeciwpożarowe zastosowanie w serwerowni lub archiwum zakładowym).

5. Ustalenie przypadków powierzenia danych osobowych

Ocena sytuacji, w których dochodzi do współpracy wymagającej zlecenia wykonania określonych operacji na danych osobowych firmie zewnętrznej. Ustalenie przypadków przekazywania danych osobowych do państw trzecich (poza EOG)

6. Opracowanie mapy drogowej wdrożenia

Świadome planowanie i określenie kolejności podejmowanych działań i środków zmierzających do poprawy bezpieczeństwa danych osobowych. Opracowanie raportu z audytu wraz z rekomendacjami.

Istota audytu

Dobrze przeprowadzony audyt pozwala zidentyfikować zagrożenia

Co daje audyt? Dlaczego jest niezbędny? RODO działa w logice tzw. „top down” – czyli rozlicza ze skutków podjętych działań. Ogólne rozporządzenie o ochronie danych nie wskazuje bezwzględnie wymaganych ani zawsze adekwatnych rozwiązań, pozostawiając każdemu administratorowi swobodę doboru sposobu zapewnienia wymaganego poziomu zabezpieczenia prywatności. Elastyczność przepisów w tym obszarze jest największą siłą RODO. Skorzystanie z tego przywileju wymaga jednak rozpoznania i zrozumienia procesów biznesowych, a następnie zastosowania do nich zasad wynikających z przepisów o ochronie danych osobowych.

Audyt Ochrony Danych Osobowych – Pytania i odpowiedzi

Dlaczego audyt jest konieczny?

Przeprowadzenie audytu ochrony danych osobowych jest niezbędny, ponieważ aby rozpocząć proces wdrażania RODO i budować dobrze działający system ochrony danych osobowych należy rozpocząć od analizy obecnej sytuacji panującej w firmie. Pozwoli to ustalić właściwą drogę oraz zakres koniecznych zmian. Świadomość tego, co w firmie należy zmienić, gdzie należy udoskonalić obecnie panujące zasady jest pierwszym krokiem do zgodności z RODO i nowymi przepisami, a co za tym idzie do uniknięcia wysokich kar oraz problemów prawnych. Czynności audytowe są niezbędne do wskazania obszarów wymagających zmian w fazie wdrożeniowej. Szczegółowy audyt ochrony danych osobowych pozwoli precyzyjnie oszacować czas etapu wdrożenia RODO.

Czy szkolenie poprzedzające audyt jest konieczne?

Tak. Zespół odpowiedzialny za wdrożenie nowych przepisów po stronie Klienta musi zdobyć wiedzę niezbędną do przeprowadzenia czynności audytowych i wdrożeniowych. Przekazanie podstawowych informacji, objaśnienie nazewnictwa oraz cel prowadzonych działań wszystkim pracownikom w czasie szkolenia – w jednym momencie, to oszczędność czasu, a co za tym idzie cennych roboczogodzin.

Którzy pracownicy powinni być zaangażowani w proces budowania systemu ochrony danych osobowych?

Wszystko zależy od specyfiki pracy na danym stanowisku. Silniejsze zapotrzebowanie jest tam, gdzie kontakt z danymi osobowymi jest podstawą wykonywanych obowiązków służbowych, np. obszary związane z działaniami marketingowymi, sprzedażowymi, również pracownicy działu kadr i płac. Niezbędne jest również zaangażowanie się personelu administratorów systemów informatycznych i infrastruktury.

Czy rozwiązania / wzory dokumentów z Internetu wystarczą na zgodność z RODO?

RODO nie zawiera gotowych rozwiązań. Wzory dokumentów znalezionych w Internecie mogą tylko służyć pomocą przy opracowaniu własnych materiałów. Ostateczny kształt niezbędnej dokumentacji oraz wprowadzone rozwiązania, metody działania i procedury zależą od konkretnej firmy. Autor gotowych rozwiązań nie dysponuje wystarczającą wiedzą. Przy odrobinie szczęścia można znaleźć dobrze opracowany wzór, który będzie trzeba wypełnić samodzielnie. Korzystanie z „gotowców” jest ryzykowne – ewentualny błąd może pociągnąć za sobą poważne konsekwencje finansowe i wizerunkowe.