Dlaczego warto przeprowadzić audyty zgodności RODO

Mimo że pojęcie „audytu” pojawia się kilkukrotnie w postanowieniach RODO, nie zostało w nim zdefiniowane. Z całokształtu regulacji można wywnioskować, że jest to ocena zgodności z prawem, w tym przypadku z RODO oraz innymi przepisami dotyczącymi przetwarzania danych osobowych (np. prawem telekomunikacyjnym, kodeksem pracy, prawem bankowym), procedurami czy umowami (np. umowami przetwarzania danych osobowych). Przy czym obejmuje ona kilka etapów, tj. ustalenie stanu faktycznego, porównanie ze stanem pożądanym oraz wskazanie wniosków wynikających z porównania wraz z rekomendacjami. Poniżej odpowiadamy, dlaczego warto go przeprowadzić i co należy uwzględnić.

KONTROLA STOSOWANIA ŚRODKÓW TECHNICZNYCH ORAZ ORGANIZACYJNYCH

Administrator jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Jednak nie może to mieć charakteru jednorazowego charakteru. Zabezpieczenia powinny być poddawane przeglądom. W ramach audytu należy zatem zweryfikować, czy przyjęte w danym podmiocie procedury są rzeczywiście stosowane. Świetnie zaprojektowane polityki to zbyt mało. Muszą być przestrzegane przez personel. Jak to sprawdzić? Podczas przeprowadzania audytu warto wykorzystać różne narzędzia, takie jak: rozmowy z pracownikami, oględziny miejsc, w których są przetwarzane dane osobowe, obserwacja, wgląd do systemów informatycznych, ankieta, weryfikacja dokumentacji.

aktualizacja procedur

Nawet jeżeli nie doszło do istotnych zmian w zakresie działania podmiotu, tj. w profilu działalności, sposobu działania czy w stosowanych systemach, to jednak należy zweryfikować nie tylko to, czy przyjęte zasady są przestrzegane, lecz równieżtakże, czy zapewniają właściwą ochronę przy uwzględnieniu aktualnych zagrożeń oraz dostępnych na rynku zabezpieczeń. Nie wolno zapominać, że zaprojektowane podczas wdrożenia procedury mogą być już przestarzałe. W tym celu trzeba poddać analizie istniejące ryzyko oraz dostępne technologie zabezpieczeń. Wreszcie procedury mogą być aktualne, ale z jakichś powodów niestosowane, np. ze względu na niedostosowanie do danej organizacji.

Rezultatem wskazanych czynności powinno być dokonanie aktualizacji środków technicznych oraz organizacyjnych, np. poprzez wprowadzenie zmian do obowiązujących polityk.

rozliczalność

Często się zapomina się, że zgodnie z RODO na administratorze spoczywa nie tylko obowiązek wdrożenia odpowiednich i skutecznych środków, lecz również także powinność wykazania, że czynności przetwarzania są zgodne z RODO oraz że są skuteczne. Jest to tzw. zasada rozliczalności. Audyt zgodności RODO oraz powstała na jego bazie dokumentacja (np. raport) stanowią adekwatne narzędzia do potwierdzenia stosowania tej zasady.

obowiązek IOD

Jednym z obowiązków inspektora ochrony danych jest monitorowanie przestrzegania RODO oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. Audyt stanowi jedno z narzędzi monitorowania przestrzegania tych przepisów i procedur. Jeżeli w danym podmiocie powołanie IOD nie jest wymagane i w rezultacie nie został on wyznaczony, obowiązki w tym zakresie może zrealizować koordynator ochrony danych lub zewnętrzny podmiot.

wymagania kontrahentów

W sytuacji gdy dany podmiot (administrator) decyduje się na powierzenie przetwarzania danych osobowych innemu podmiotowi (czyli procesorowi), np. w celu prowadzenia księgowości, kadr i płac czy świadczenia usług informatycznych, to wcześniej powinien zweryfikować, czy procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Zazwyczaj administratorzy proszą procesorów o wypełnienie kwestionariusza, a następnie przeprowadzają rozmowy w celu wyjaśnienia wybranych kwestii, zapoznają się z certyfikatami posiadanymi przez procesora, w końcu (w razie pozytywnego wyniku weryfikacji) w umowie powierzenia przetwarzania danych osobowych wskazują minimalne środki techniczne oraz organizacyjne, które powinien utrzymywać podmiot przetwarzający. Wśród tych wymagań bardzo często znajduje się obowiązek przeprowadzania regularnych kontroli oraz audytów.

Praktyczne wyjaśnienia dotyczące audytów zgodności

▶Jak często należy przeprowadzać audyty?

RODO nie definiuje częstotliwości przeprowadzania audytów zgodności. Rekomenduje się podejmowanie takich czynności:

• co najmniej raz w roku oraz

• w przypadku wystąpienia nieprawidłowości w stosowaniu RODO (np. dopuszczenia się naruszenia), jak również

• w sytuacji zmian w sposobie przetwarzania danych osobowych oraz w środowisku, w którym funkcjonuje podmiot (zmiana profilu działalności, procesy połączenia z innymi podmiotami, wdrożenie nowych funkcjonalności w zakresie przetwarzania danych osobowych).

Ważne, by dany podmiot był w stanie uzasadnić stosowaną przez niego częstotliwość audytów, zwłaszcza, gdy są one przeprowadzane w dłuższych odstępach czasowych. Przed podjęciem decyzji w tym zakresie, warto przeanalizować postanowienia umowy powierzenia przetwarzania danych osobowych, rekomendacje z poprzednich audytów oraz plany audytów w danym podmiocie. Jeżeli w wewnętrznych procedurach (np. w polityce bezpieczeństwa danych osobowych) zobowiązaliśmy się do przeprowadzania audytu raz w roku, powinniśmy się z tego obowiązku wywiązywać albo (w sytuacji gdy jesteśmy w stanie uzasadnić ich mniejszą częstotliwość), zaktualizować polityki.

▶Czy audyt zgodności powinien zawsze dotyczyć całego podmiotu?

Decyzja w tym zakresie również należy do danego podmiotu. Ogólnie istnieje możliwość przeprowadzenia audytu częściowego, dotyczącego wybranych procesów przetwarzania (np. w ramach konkretnych działów). Należy jednak pamiętać, że decyzja o audycie częściowym powinna być spójna z przyjętymi procedurami, rekomendacjami z poprzednich audytów, wytycznymi organów właściwych do ochrony danych osobowych, planów audytów.

▶Jak dokumentować audyt?

Należy sporządzić przygotować plan oraz harmonogram audytu, a na następnie na bieżąco sporządzać notatki z jego przebiegu. Następnie Potem powinien zostać przygotowany końcowy raport zawierający rekomendacje oraz harmonogram wdrożenia rekomendacji (dokonania aktualizacji polityk, wprowadzenia zmian w zakresie zabezpieczeń, zorganizowania szkoleń, itd.).

Podstawa prawna

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; inaczej: RODO)

Pozostało 77% treści

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Wybierz pakiet odpowiedni dla siebie i korzystaj codziennie!

Jesteś subskrybentem?
Zaloguj się

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Jesteś subskrybentem?
Zaloguj się

<span style="font-size:20px; color: #000000">Kup dostęp <br>już od <strong style="color: #FD0509">9,90 zł</strong> za pierwszy miesiąc</span>

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Ten artykuł jest dostępny tylko dla subskrybentów wersji cyfrowej DGP Premium.

Potrzebujesz więcej treści dla specjalistów? Szukasz kompleksowej informacji i wyjaśnień ekspertów dotyczących zmieniającego się prawa?
Wybierz wersję cyfrową DGP Premium z nielimitowanym dostępem do wszystkich treści (gazetaprawna.pl. edgp.gazetaprawna.pl, aplikacja DGP) i pełnym archiwum wydań.