Mogłoby się wydawać, że audyt RODO to usługa, która ma zastosowanie tylko przy okazji samego wdrożenia. Oznaczałoby to, że spóźniliśmy się z tym wpisem ładnych kilka lat. Jednak jak pokazują doświadczenia i dobre praktyki, audyt (nie tylko RODO z resztą) jest na tyle ważny, że warto (a czasem trzeba!) wykonywać go systematycznie. Nie tylko mając przed oczami wizję kontroli w firmie, czy kar które grożą gdy dostosujemy swoich procesów do aktualnych regulacji prawnych w zakresie ochrony danych osobowych. To szczególnie istotne jeśli chcecie mieć pewność, że Wasze dane (i dane Waszych klientów) są odpowiednio chronione w specyficznym i indywidualnym środowisku i organizacji, które panują w Waszej firmie. A audyt to najlepszy sposób, aby sprawdzić jaki jest faktyczny stan działań, procesów oraz czy nie ma gdzieś luk bezpieczeństwa, które mogą być opłakane w skutkach.
Na czym dokładnie polega audyt RODO? Dlaczego warto przeprowadzić go w firmie? Kiedy i jak to zrobić? Na te i dodatkowe pytania odpowiemy w dzisiejszym wpisie. Zapraszamy!
Audyt RODO – po co to komu?
Zacznijmy od tego, że trudno będzie Wam przeprowadzić audyt samodzielnie. Z wielu względów będzie to, mówiąc delikatnie, niewskazane. Najlepiej do tego zadania zaprosić niezależnych specjalistów, nawet jeśli w Waszej firmie są pracownicy z odpowiednią wiedzą i rozeznaniem.
Celem audytu RODO jest rozpoznanie i diagnoza. Stanowi punkt wyjścia przed rozpoczęciem wdrożeń i optymalizacji procesów. Prawidłowo wykonany, zobrazuje nam, jakie dane osobowe są w firmie i czy są przetwarzane w zgodzie z aktualnie obowiązującymi przepisami. To w konsekwencji pozwoli odpowiedzieć na szereg istotnych pytań, takich jak:
Jakie działania na danych są prowadzone w firmie i czy są zgodne z RODO?
Czy nie przetwarzamy zbyt dużo danych osobowych (minimalizacja danych)?
Czy obecnie stosowane rozwiązania są skuteczne i przynoszą zakładane korzyści?
Czy stosujemy profilowanie, a jeśli tak to czy jest one zgodne z RODO?
Czy nasi pracownicy znają procedury i je stosują w praktyce?
Do jakich zewnętrznych podmiotów transferujemy dane osobowe?
Czy posiadamy wszystkie umowy powierzenia danych, jeśli transferujemy dane na zewnątrz?
Czy nasza dokumentacja RODO jest prowadzona rzetelnie i systematycznie?
Czy w odpowiedni sposób spełniamy obowiązki informacyjne?
Czy odpowiednio archiwizujemy dane osobowe w firmie?
Czy stosujemy prawidłowe klauzule i zgody na przetwarzanie danych?
W jaki sposób realizowane są prawa osób, których dane są przetwarzane?
Jaki jest stan naszych zabezpieczeń przed ewentualną utratą danych (IT i nie tylko)
Czy nasza organizacja ma opracowaną strukturę systemu ochrony danych?
Czy jesteśmy w stanie wykazać przestrzeganie przepisów RODO (zasada rozliczalności).
Jakie kategorie danych osobowych gromadzimy w ramach naszej działalności i czy znajdują się wśród nich szczególne kategorie, na przykład dane wrażliwe?
Czy konieczne jest prowadzenie Rejestru Czynności Przetwarzanych Danych Osobowych?
Jaki jest stan dokumentacji i czy zostały zawarte stosowne umowy powierzenia przetwarzania danych osobowych?
Czy mamy do czynienia z administrowaniem czy współadministrowaniem danymi?
Czy przedsiębiorca transferuje dane osobowe poza obszar Unii Europejskiej oraz Europejski Obszar Gospodarczy?
Czy przedsiębiorca nadaje odpowiednie upoważnienia do przetwarzania danych osobowych pracownikom i prowadzi rejestr upoważnień?
To oczywiście nie wszystkie pytania, na które poznamy odpowiedzi po przeprowadzeniu audytu RODO. Wiele zależy od skali biznesu i przetwarzania danych. Niezależnie od tego, audyt będzie najlepszą podstawą do podjęcia ważnych działań naprawczych, albo pozwoli upewnić się, że wszystko jest pod kontrolą. Obie te informacje są dla przedsiębiorców równie wartościowe. A kiedy warto przeprowadzić audyt RODO?
Audyt zgodności z RODO nie jest czynnością jednorazową. Powinien on zostać przeprowadzony zarówno przed wdrożeniem dokumentacji RODO, jak i po implementacji odpowiednich procedur. Bardzo ważne jest bowiem na bieżąco monitorować rozwiązania, procesy oraz ich aktualność, celowość i prawidłowość. Taka aktywna postawa jest niezmiernie ważna, zwłaszcza w kontekście reagowania na zmieniające się warunki przetwarzania danych. Przede wszystkim jeśli chodzi o zakres i cel.
Ze względu na moment przeprowadzania audytu RODO można wyróżnić dwa jego podstawowe rodzaje:
audyt wstępny – przeprowadzany u przedsiębiorcy, u którego do tej pory nie wdrożono RODO. Ewentualnie u przedsiębiorcy planującego rozpoczęcie nowej działalności gospodarczej. Zazwyczaj będzie prowadził do przygotowania i wdrożenia niezbędnych procedur od podstawe.
audyt okresowy, zwany także audytem powdrożeniowym – przeprowadzany zazwyczaj w cyklach rocznych (a w niektórych przypadkach cześciej), mający na celu kontrolę skuteczności przyjętych środków bezpieczeństwa danych osobowych, sprawdzenie sposobu wdrożenia przyjętej dokumentacji, przeszkolenie personelu w zakresie odpowiadającym na zmieniające się warunki przetwarzania danych osobowych.
Audyt RODO w praktyce
To w jaki sposób będziemy przeprowadzali audyt zależeć będzie w głównej mierze od wielkości firmy i skali przetwarzania danych. Im więcej procesów i danych, tym bardziej złożony będzie audyt i tym więcej będzie w sobie zawierał.
Wiele etapów audytu przenika się i wpływa na siebie nawzajem, ale można wyszczególnić 3 główne fazy:
etap zbierania aktualnych informacji,
etap analizy i inwentaryzowania informacji,
etap opracowywania planów i działań naprawczych.
Pierwszy etap pozwoli zebrać niezbędne informacje i dane. Zaczyna się w zasadzie przy pierwszym spotkaniu lub konsultacjach. Wywiad to dobry początek, natomiast duża ilość informacji zawarta się w systemach informatycznych , które trzeba wyciągnąć na powierzchnię. Czasami dobrym rozwiązaniem, zwłaszcza w większych firmach, jest przeprowadzenie ankiety wśród pracowników. W szczególności dotyczy to działów księgowych, marketingowych i operacyjnych.
Po zebraniu niezbędnych informacji i danych przechodzimy do ich inwentaryzacji i analizy. Efektem tego jest raport. Powinien posiadać wszystkie istotne informacje odnośnie aktualnego stanu faktycznego, a także wskazywać ewentualne braki i co najważniejsze – propozycje ich poprawy. Niezmierne istotne będzie też określenie w nim priorytetów, bo nie wszystkie tematy mają równą wagę i znaczenie. Mając taki obraz sytuacji i nakreślone główne zadania można przejść do części praktycznej.
Oczywiście to bardzo skrótowy zarys. Dlatego mamy dla Was jeszcze kilka dodatkowych uwag i praktycznych porad w kontekście przeprowadzenia audytu RODO:
procesy przetwarzania danych powinny być identyfikowane jako zespół działań, z których każde ma jakiś cel biznesowy np: rekrutacja, sprzedaż, księgowość itd.;
poza ustaleniem przebiegu i występowania określonych procesów, konieczne jest też zidentyfikowanie gdzie dokładnie w ramach tych czynności są gromadzone dane. Warto będzie podzielić bazy względem funkcji i celu w jakim są przetwarzane np. serwery, pendrive’y, dokumenty, dyski twarde itd.;
mając wiedzę dotyczącą lokalizacji danych łatwiej będzie dopasować do nich indywidualne zabezpieczenia, które będą różnić się w zależności od formy magazynowania;
posiadając wiedzą na temat tego jak przetwarzamy dane osobowe i w jakim celu – warto ustalić zakres przetwarzania. Choćby z powodu obowiązku minimalizacji danych, jakie narzuca na firmy RODO;
warto też zbadać dokładnie jak długo niektóre dane są przetwarzane – czyli określić ich retencje.
audyt ułatwi też odpowiednie pogrupowanie danych na zwykłe i wrażliwe, co również ma duże znaczenie w myśl nowych przepisów w ochronie danych osobowych i pozwoli nam zaplanować odpowiednie działania;
segregacja danych pomoże nam w ocenie ryzyka, które również powinno zostać ujęte w audycie RODO;
ocena ryzyka z kolei da nam niezbędne informacje, które pomogą w doborze odpowiedniej ochrony i zabezpieczeń;
komu przekazujemy dane firmowe? To też ustalimy w trakcie audytu, ale ważne będzie nie tylko wskazanie podmiotów, ale też dokładne określenie celu w jakim przekazywane są dane osobowe i sprawdzenie czy w każdym przypadku mamy odpowiednie umowy powierzenia danych. Wzór tego dokumentu udostępniliśmy Wam w jednym z ostatnich wpisów – wystarczy kliknąć na poniższą grafikę;
mając odpowiednią ilość informacji do analizy można przejść do oceny zgodności, czyli zbadania wymogów formalno-prawnych, jak również zgodności systemów informatycznych;
audyt umożliwia też stworzenie mechanizmu działania na wypadek kryzysu, z uwzględnieniem konieczności poinformowania o nim GIODO w terminie 72 godzin od jego wystąpienia, pomaga też rozważyć, czy w trosce o bezpieczeństwo danych, warto będzie wprowadzić pseudonimizację albo ich anonimizację;
audyt RODO ułatwia też organizację dokumentów i sprawdzenie czy odzwierciedlają stan faktyczny – dobrze będzie je przygotować jeszcze przed działaniami;
konieczne jest też sprawdzenie czy systemy informatyczne w firmie umożliwiają realizację obowiązków związanych z RODO. Czasami może pojawić się konieczność zmiany oprogramowania, lub jego modyfikacji. Całe szczęście w tym też może pomóc Ci zespół WBT-IT!
Audyt RODO w Twojej firmie!
Dzisiejszy tekst miał być impulsem do przeanalizowania tematu i jednocześnie zachętą do skorzystania z naszych usług informatycznych i wdrożeniowych. Zwłaszcza, że dysponujemy zespołem fachowców o różnych specjalizacjach, co daje pewność, że nasze działania będą skuteczne na kilku frontach. Uwzględniając wszystkie regulacje prawne, Wasze oczekiwania, potrzeby i możliwości. Zapewniamy nie tylko audyt ale też jakościowe wdrożenia, doradztwo specjalistów i dodatkowe usługi, w tym także przejęcie roli Inspektora Ochrony Danych.
Korzystając z audytu RODO w WBT-IT:
Otrzymujesz dostęp do sprawdzonej i aktualnej wiedzy.
Korzystasz z doświadczenia prawników, informatyków i praktyków biznesowych.
Korzystasz ze wsparcia doświadczonej firmy – mamy za sobą kilkadziesiąt wdrożeń związanych z ochroną danych osobowych.
Otrzymujesz pełną dokumentację, przygotowaną indywidualnie dla Twojego biznesu.
Zyskujesz sprawdzone rozwiązania i gotowe do zaimplementowania procedury.
Na każdym etapie współpracy jesteśmy do Twojej dyspozycji.
Bierzemy pełną odpowiedzialność za audyt i dajemy Ci pewność, że zarówno audyt, jak i zaproponowane rozwiązania są zgodne z aktualnym stanem prawnym i wymogami.
