Audyt RODO – jak przeprowadzić?

Mogłoby się wydawać, że audyt RODO to usługa, która ma zastosowanie tylko przy okazji wdrożenia. A tym samym, oznaczałoby to, że spóźniliśmy się z tym wpisem mniej więcej rok. Jesteśmy jednak zdania, że audyt (nie tylko RODO) jest na tyle ważny, że warto wykonywać systematycznie. Zwłaszcza, że od jakiegoś czasu słychać różne głosy, które zapowiadają wzmożone kontrole w firmach, co niektórym przedsiębiorcom może spędzać sen z powiek.

Aby odzyskać spokojny sen, nie ma lepszego sposobu niż audyt, który przedstawi autentyczny stan naszych działań i danych w firmie. Czemu jeszcze ma służyć i jak go przeprowadzić?

 

Czemu ma służyć audyt RODO?

 

Zacznijmy od tego, że trudno będzie Wam przeprowadzić audyt samodzielnie. Z wielu względów będzie to nawet niewskazane. Najlepiej do tego zadania zaprosić niezależnych specjalistów, nawet jeśli w Waszej firmie są pracownicy z odpowiednią wiedzą i rozeznaniem.

Celem audytu RODO jest rozpoznanie i diagnoza. Stanowi punkt wyjścia przed rozpoczęciem wdrożeń i optymalizacji procesów. Prawidłowo wykonany, zobrazuje nam, jakie dane osobowe są w firmie i czy są przetwarzane w zgodzie z aktualnie obowiązującymi przepisami. To w konsekwencji pozwoli uniknąć ewentualnych kar i odpowiedzieć na szereg istotnych pytań, takich jak:

 

  • Jakie działania na danych są prowadzone w firmie i czy są zgodne z RODO?
  • Czy nie przetwarzamy zbyt dużo danych osobowych (minimalizacja danych)?
  • Czy obecnie stosowane rozwiązania są skuteczne i przynoszą zakładane korzyści?
  • Czy stosujemy profilowanie, a jeśli tak to czy jest one zgodne z RODO?
  • Czy nasi pracownicy znają procedury i je stosują w praktyce?
  • Do jakich zewnętrznych podmiotów transferujemy dane osobowe?
  • Czy posiadamy wszystkie umowy powierzenia danych, jeśli transferujemy dane na zewnątrz?
  • Czy musimy powołać Inspektora Ochrony Danych (IOD)?
  • Czy nasza dokumentacja RODO jest prowadzona rzetelnie i systematycznie?
  • Czy w odpowiedni sposób spełniamy obowiązki informacyjne?
  • Czy odpowiednio archiwizujemy dane osobowe w firmie?
  • Czy stosujemy prawidłowe klauzule i zgody na przetwarzanie danych?
  • W jaki sposób realizowane są prawa osób, których dane są przetwarzane?
  • Jaki jest stan naszych zabezpieczeń przed ewentualną utratą danych (IT i nie tylko)
  • Czy nasza organizacja ma opracowaną strukturę systemu ochrony danych?
  • Czy jesteśmy w stanie wykazać przestrzeganie przepisów RODO (zasada rozliczalności).

 

To oczywiście nie wszystkie pytania, na które poznamy odpowiedzi po przeprowadzeniu audytu. Wszystko zależy od skali biznesu i przetwarzania danych. Niezależnie od tego, audyt będzie najlepszą podstawą do podjęcia ważnych działań naprawczych, albo pozwoli upewnić się, że wszystko jest pod kontrolą. Obie te informacje są dla przedsiębiorców równie wartościowe. Zastanówmy się w takim razie, jak przeprowadzić audyt RODO.

audyt rodo

Jak przeprowadzić audyt RODO?

 

To w jaki sposób będziemy przeprowadzali audyt zależeć będzie w głównej mierze od wielkości firmy i skali przetwarzania danych. Im więcej procesów i danych, tym bardziej złożony będzie audyt i tym więcej będzie w sobie zawierał.

Wiele etapów audytu przenika się i wpływa na siebie nawzajem, ale można wyszczególnić 3 główne fazy:

  • etap zbierania aktualnych informacji,
  • etap analizy i inwentaryzowania informacji,
  • etap opracowywania planów i działań naprawczych

 

Pierwszy etap pozwoli zebrać niezbędne informacje i dane. Zaczyna się w zasadzie przy pierwszym spotkaniu lub konsultacjach. Wywiad to na dobry początek. Duża ilość informacji zawarta się w systemach informatycznych , które trzeba wyciągnąć na powierzchnię. Czasami dobrym rozwiązaniem, zwłaszcza w większych firmach, jest przeprowadzenie ankiety wśród pracowników. W szczególności dotyczy to działów księgowych, marketingowych i operacyjnych.

Po zebraniu i wyciągnięciu niezbędnych informacji i danych przechodzimy do ich inwentaryzacji i analizy. Efektem tego jest raport. Powinien posiadać wszystkie istotne informacje odnośnie aktualnego stanu faktycznego, a także wskazywać ewentualne braki i co najważniejsze – propozycje ich poprawy. Niezmierne istotne będzie też określenie w nim priorytetów, bo nie wszystkie tematy mają równą wagę i znaczenie. Mając taki obraz sytuacji i nakreślone główne zadania można przejść do części praktycznej.

 

Oczywiście to bardzo skrótowy zarys audytu. Dlatego mamy dla Was jeszcze kilka dodatkowych uwag i praktycznych porad:

 

  • procesy przetwarzania danych powinny być identyfikowane jako zespół działań, z których każde ma jakiś cel biznesowy np: rekrutacja, sprzedaż, księgowość itd.
  • poza ustaleniem przebiegu i występowania określonych procesów, konieczne jest też zidentyfikowanie gdzie dokładnie w ramach tych czynności są gromadzone dane. Warto będzie podzielić bazy względem funkcji i celu w jakim są przetwarzane np. serwery, pendrive’y, dokumenty, dyski twarde itd.
  • mając wiedzę dotyczącą lokalizacji danych łatwiej będzie dopasować do nich indywidualne zabezpieczenia, które będą różnić się w zależności od formy magazynowania
  • posiadając wiedzą na temat tego jak przetwarzamy dane osobowe i w jakim celu – warto ustalić zakres przetwarzania. Choćby z powodu obowiązku minimalizacji danych, jakie narzuca na firmy RODO.
  • warto też zbadać dokładnie jak długo niektóre dane są przetwarzane – czyli określić ich retencje.
  • audyt ułatwi też odpowiednie pogrupowanie danych na zwykłe i wrażliwe, co również ma duże znaczenie w myśl nowych przepisów w ochronie danych osobowych i pozwoli nam zaplanować odpowiednie działania
  • segregacja danych pomoże nam w ocenie ryzyka, które również powinno zostać ujęte w audycie RODO
  • ocena ryzyka z kolei da nam niezbędne informacje, które pomogą w doborze odpowiedniej ochrony i zabezpieczeń
  • komu przekazujemy dane firmowe? To też ustalimy w trakcie audytu, ale ważne będzie nie tylko wskazanie podmiotów, ale też dokładne określenie celu w jakim przekazywane są dane osobowe i sprawdzenie czy w każdym przypadku mamy odpowiednie umowy powierzenia danych. Wzór tego dokumentu udostępniliśmy Wam w jednym z ostatnich wpisów – zerknijcie.
  • mając odpowiednią ilość informacji do analizy można przejść do oceny zgodności, czyli zbadania wymogów formalno-prawnych, jak również zgodności systemów informatycznych.
  • audyt umożliwia też stworzenie mechanizmu działania na wypadek kryzysu, z uwzględnieniem konieczności poinformowania o nim GIODO w terminie 72 godzin od jego wystąpienia
  • pomaga też rozważyć, czy w trosce o bezpieczeństwo danych, warto będzie wprowadzić pseudonimizację albo ich anonimizację
  • audyt RODO ułatwia też organizację dokumentów i sprawdzenie czy odzwierciedlają stan faktyczny
  • konieczne jest też sprawdzenie czy systemy informatyczne w firmie umożliwiają realizację obowiązków związanych z RODO. Czasami może pojawić się konieczność zmiany oprogramowania, lub jego modyfikacji.

 

Dzisiejszy tekst miał być zachętą do przeanalizowania tematu i jednocześnie zachętą do skorzystania z naszych usług informatycznych i wdrożeniowych. Mimo, że nie przedstawiliśmy dziś pełnego i szczegółowego opisu audytu RODO w firmie, to jeśli zdecydujecie się na współpracę z WBT-IT gwarantujemy, że przeprowadzimy go kompleksowo.

Zwłaszcza, że dysponujemy zespołem fachowców o różnych specjalizacjach, co daje pewność, że nasze działania będą skuteczne na kilku frontach. Uwzględniając wszystkie regulacje prawne, Wasze oczekiwania, potrzeby i możliwości. Zapewniamy nie tylko audyt ale też jakościowe wdrożenia, doradztwo specjalistów i dodatkowe usługi, w tym także przejęcie roli Inspektora Ochrony Danych.

Zachęcamy do kontaktu, zapoznania się z naszą ofertą i skorzystania z naszej obsługi informatycznej.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *