Czym jest audyt RODO?
Od momentu wejścia w życie RODO (Ogólne rozporządzenie o ochronie danych osobowych), większość firm i instytucji zaczęła poważnie analizować schemat działania i politykę panującą w swoich placówkach. Część przedsiębiorców nawet nie zdaje sobie sprawy, że stosowane przez nich rozwiązania nie są zgodne z prawem. Ponieważ przepisy RODO w założeniu mają pozostać aktualne pomimo ciągle trwającego postępu technicznego, mogą być błędnie interpretowane przez przeciętnego odbiorcę.
Niestosowanie się do aktualnie panujących przepisów wynikających z Rozporządzenia o ochronie danych osobowych może skutkować grzywną, a w niektórych przypadkach również karą pozbawienia wolności do lat dwóch. Ignorantia iuris nocet - nieznajomość prawa szkodzi. Żadne tłumaczenia związane z niewiedzą czy błędną interpretacją ustaw nie uchronią właściciela przed nieprzyjemnymi konsekwencjami. Jedynym rozwiązaniem jest prowadzenie firmy bądź instytucji w zgodzie z prawem. Aby dowiedzieć się, czy wszystkie formalności z tym związane zostały dopięte, warto rozpocząć od audytu RODO.
Audyt RODO (znany również jako audyt bezpieczeństwa danych) to zbiór procedur, mających na celu weryfikację czy dana organizacja spełnia wszystkie wymogi wynikające z Rozporządzenia o ochronie danych osobowych, a także w jakim stopniu je realizuje. Całe badanie przeprowadzane jest przez specjalistę, a produktem końcowym audytu jest raport, w którym zawarte są wszystkie niezgodności z przepisami, a także rekomendacje pozwalające na poprawę funkcjonowania swojej firmy w tym zakresie.
Jak przeprowadzić audyt RODO? | Wywiad z pracownikami
Na samym wstępie warto podkreślić, że nie ma czegoś takiego jak jeden prawidłowy i obowiązujący wzór na audyt RODO. Sposób jego przeprowadzenia oraz zastosowane do tego metody powinny zostać dostosowane do danego przedsiębiorstwa lub instytucji, skali jego/jej działalności oraz - przede wszystkim - ilości danych osobowych przez nie przetwarzanych. Zatem, jak przeprowadzić audyt RODO?
Jak zostało wcześniej wspomniane, na audyt RODO nie istnieje żaden narzucony wzór czy schemat postępowania. Cały proces rozpocząć może się od wywiadu z pracownikami, którzy zostają poproszeni o udzielenie kluczowych informacji dotyczących systemu ochrony danych w danej placówce. Jeżeli organizacja jest duża, zazwyczaj przeprowadza się ankietę, która pozwala zbadać sporą grupę odbiorców w stosunkowo krótkim czasie.
Konieczne jest skonstruowanie wspomnianej ankiety w odpowiedni sposób. Powinna ona zawierać zarówno pytania zamknięte, jak i otwarte po to, aby uzyskane odpowiedzi były jak najbardziej szczere i nie wynikały z mechanicznego i bezrefleksyjnego zaznaczania losowych pól w kwestionariuszu. Rekomenduje się, aby ankieta stworzona na potrzeby audytu RODO zawierała pytania kontrolne, sprawdzające zgodność z wcześniej udzielonymi odpowiedziami.
W przypadku niedużych firm i instytucji, audyt bezpieczeństwa ochrony danych osobowych powinien opierać się na bezpośredniej rozmowie z członkami danej organizacji.
Tworzenie audytu zgodności z RODO | Analiza organizacji
Audyt zgodności z RODO tworzy się nie tylko na podstawie wywiadu z pracownikami czy też członkami organizacji. Nieodłącznym elementem całej procedury jest szczegółowa analiza danej placówki pod kątem zbierania i wykorzystywania przez nią danych osobowych. W tym celu, upoważniony do tego specjalista (najczęściej Inspektor Ochrony Danych Osobowych) może przedsięwziąć różne kroki.
Najczęściej jednak dokonuje on:
-
Wglądu do nośników danych,
-
Weryfikacji i oceny firmowej dokumentacji,
-
Kontroli systemów informatycznych w danej placówce,
-
Zapoznania się ze środowiskiem pracy oraz warunkami, w jakich następuje przetwarzanie danych osobowych,
-
Ustalenia przypadków, w których nastąpiło powierzenie danych osobowych firme zewznętrznej lub państwom poza Europejskim Obszarem Gospodarczym (EOG).
Wyżej wymienione czynności prowadzą do stworzenia raportu z przeprowadzonego audytu. Dokument ten zawiera pełen wykaz niezgodności z obowiązującym prawem oraz aktualnie funkcjonującą w placówce listę procesów przetwarzania danych osobowych. Ponadto, w raporcie zawarty jest świadomie i profesjonalnie ułożony plan działań i środków, które poprawią stopień bezpieczeństwa danych oraz pomogą danej firmie lub instytucji funkcjonować zgodnie z przepisami RODO.
Czy audyt RODO jest obowiązkowy?
W przepisach Rozporządzenia o ochronie danych osobowych nie znajdziemy zapisu, który wprost informowałby o obowiązku przeprowadzenia audytu RODO w swojej firmie. Jednakże, jak wynika z artykułu 24 ust. 1, artykułu 32 ust. 1 (litera d) oraz motywu 39, obowiązkowe jest cykliczne wykonywanie przeglądów i poddawanie ocenie skuteczności wdrożonych zabezpieczeń przetwarzania danych osobowych. Żadne polskie ustawy ani RODO samo w sobie nie narzuca jednak konkretnych procedur ani rozwiązań w tym zakresie. Oznacza to, że sposób, w jaki wspomniane przeglądy i oceny zostaną przeprowadzone, leży w gestii właściciela.
Audyt bezpieczeństwa danych funkcjonuje w formie wstępnej oraz cyklicznej. Wstępny audyt RODO wykonuje się u przedsiębiorców, u których do tej pory nie zostało wprowadzone RODO lub planują oni rozpocząć nową działalność gospodarczą. Uzyskany raport zazwyczaj stanowi bazę do wdrożenia od podstaw wszystkich niezbędnych procedur.
Cykliczny audyt RODO - zwany również powdrożeniowym, okresowym - głównie ma na celu kontrolę skuteczności wdrożonych środków zapewniających bezpieczeństwo danym osobowym oraz przeszkolenie pracowników w zakresie zmieniających się warunków ich przetwarzania. Okresowy audyt RODO zazwyczaj wykonuje się raz na 12 lub 36 miesięcy.
Choć forma przeprowadzania cyklicznych przeglądów zabezpieczeń danych osobowych jest dowolna, zaleca się ich administratorowi wynajęcie w tym celu specjalisty w zakresie audytów RODO.
Audyt RODO Twojej firmy
Nazywam się Agata Lasota-Jądrzak i jestem specjalistą w zakresie ochrony danych osobowych oraz informacji niejawnych. Już od blisko 23 lat działam w obszarze związanym z prawną ochroną informacji. To moja pasja, zawód i obiekt licznych publikacji, które stworzyłam na przestrzeni lat. W Twojej firmie obejmę stanowisko Inspektora Ochrony Danych Osobowych i przeprowadzę audyt, który sprawdzi, czy podejmowane w niej działania są zgodne z obowiązującymi w Polsce przepisami oraz RODO.
W ramach współpracy zajmę się:
-
szczegółową analizą dokumentacji firmy,
-
identyfikacją wszystkich zasobów w organizacji,
-
oszacowaniem poziomu zagrożenia związanego z nieprawidłowym przechowywaniem danych,
-
stworzeniem instrukcji dotyczącej sposobu postępowania z informacjami zastrzeżonymi i poufnymi, na podstawie wymagań określonych w ustawie o ochronie informacji niejawnych,
-
weryfikacją, czy osoby posiadające dostęp do informacji niejawnych w placówce są do tego uprawnione,
-
sprawdzeniem, czy osoby powołane w firmie do pełnienia funkcji: administratora systemu teleinformatycznego, inspektora bezpieczeństwa teleinformatycznego, kierownika kancelarii tajnej i pełnomocnika ochrony, dane stanowisko obejmują zgodnie z wymogami prawa,
-
analizą adekwatności dobranych środków ochrony fizycznej do panującego poziomu zagrożenia,
-
opracowaniem raportu wraz z rekomendacjami, które podniosą poziom bezpieczeństwa w firmie, jednocześnie będąc zgodnymi z wymogami prawnymi.
Audyt zgodności z RODO | I co dalej?
Po przeprowadzonym audycie, w ręce administratora trafia gotowy raport zawierający kompletną listę uchybień, błędów i zagadnień, które wymagają usprawnień bądź zmian. W dokumencie znajduje się również spis rekomendowanych działań naprawczych, z którymi wszystkie osoby odpowiadające za ich wdrożenie, powinny się skrupulatnie zapoznać.
Ponadto, aby proces wprowadzenia zaleceń poaudytowych zakończył się sukcesem, warto skompletować zespół, który będzie za to odpowiedzialny. Odpowiedni podział ról i wyznaczenie osoby koordynującej przebieg realizacji założeń zawartych w harmonogramie z pewnością usprawni całą procedurę.
Warto mieć na uwadze, że choć RODO nie narzuca obowiązku tworzenia konkretnej dokumentacji, dobrze jest zbierać dane i dokumentować wszystkie kroki podejmowane zarówno w trakcie, jak i po przeprowadzeniu audytu bezpieczeństwa ochrony danych osobowych. Ze względu na zasadę rozliczalności, w razie kontroli Twoja firma musi być w stanie wykazać, że podejmowane w niej działania są zgodne z RODO.
Na koniec należy pamiętać, że audyt to nie to samo co wdrożenie RODO. Jeżeli pomimo otrzymania raportu pełnego uwag i rekomendacji nie podejmiesz odpowiednich kroków w swojej organizacji bądź przedsiębiorstwie, w przypadku niezgodności z przepisami RODO, Twoja działalność będzie prowadzona niezgodnie z prawem.
Co daje przeprowadzenie audytu RODO?
Choć pod kątem prawnym przeprowadzenie audytu zgodności z RODO nie jest obowiązkowe, warto jest skorzystać z proponowanej usługi i tym samym zyskać:
✔ Bezpieczeństwo prawne - audyt nie jest obowiązkowy, jednak prowadzenie działalności zgodnie z przepisami zawartymi w RODO - już tak. Aby zyskać pewność, że wszystkie działania podejmowane w Twojej firmie nie naruszają prawa i są zgodne z aktualnie panującymi standardami, a tym samym zminimalizować ryzyko przykrych konsekwencji prawnych (kary administracyjne, roszczenia na drodze postępowania cywilnego), warto zwrócić się do specjalisty od ochrony danych osobowych.
✔ Oszczędności - audyt zgodności z RODO to klucz do oszczędności - zarówno pieniędzy, jak i czasu. Audyt pomaga w zidentyfikowaniu obszarów, w których firma nie działa zgodnie z wymaganiami Rozporządzenia o ochronie danych osobowych oraz wskazuje, jakie środki ochrony należy wprowadzić. Stosując się do zaleceń, firma może uniknąć wysokich kar finansowych, które wynikają z nieprzestrzegania przepisów RODO.
✔ Pewność - uczciwi przedsiębiorcy dążą do tego, aby prowadzona przez nich działalność spełniała wszystkie wymogi prawne. Z pomocą audytu RODO mogą oni zyskać pewność, że stosowane przez nich rozwiązania i zabezpieczenia są adekwatne do panujących przepisów i norm. W razie potrzeby, na podstawie rekomendacji zawartych w poaudytowym raporcie, mogą je szybko zmodyfikować.
Czy audyt RODO jest dla mnie?
Twoja firma bez wątpienia skorzysta, jeśli zostanie w niej przeprowadzony audyt RODO. Usługa ta kierowana jest do Ciebie, jeśli:
- Nie posiadasz wiedzy na temat RODO, nie wiesz czego dotyczy i co trzeba zrobić, aby spełniać zawarte w nim wymogi.
- Chcesz zyskać pewność, że sposób, w jaki Twoje przedsiębiorstwo lub organizacja przetwarza dane osobowe, jest zgodny z RODO.
- Konsekwentnie prowadzisz dokumentację RODO, jednak nie masz pewności, czy jest ona aktualna i poprawna.
- W swojej placówce posiadasz Inspektora Ochrony Danych Osobowych i chcesz zweryfikować, czy powierzone mu obowiązki są poprawnie realizowane.
- Zamierzasz oszacować ryzyko swojej firmy w zakresie bezpieczeństwa danych osobowych.
- Obawiasz się kontroli i chcesz mieć pewność, że wdrożony system bezpieczeństwa danych spełnia wszystkie wymogi i posiadasz na to stosowną dokumentację.
Jeżeli przynajmniej jeden z powyższych punktów dotyczy Ciebie - zgłoś się do mnie. Przeprowadzę kompleksowy audyt RODO w Twojej firmie, a w razie potrzeby zajmę się również jego wdrożeniem i poprowadzę stosowne szkolenia dla pracowników. W branży działam od ponad 20 lat, współpracuję również z niezależnymi, najwyższej klasy ekspertami. Z moją pomocą Twoja działalność stanie się nieskazitelna w świetle prawa.
ul. Wrzosowa 18
62-023 Borówiec
REGON: 369652320
Agata Lasota - Jądrzak
ul. Wrzosowa 18
62-023 Borówiec
Blog - RODO i ochrona danych osobowych