Jak dobrze przeprowadzić audyt zgodności z RODO?
Audyt zgodności można porównać do kompleksowo przeprowadzonej diagnozy lekarskiej. Dobrze wykonany audyt pokazuje silne i słabe strony ochrony danych osobowych w organizacji i staje się punktem wyjścia do działań naprawczych. Dlaczego audyt zgodności z RODO jest tak ważny i jak go zorganizować, aby nie był zbyt dużym obciążeniem dla administratora danych i jego pracowników? Odpowiedzi na te pytania znajdziesz w LEX Ochrona Danych Osobowych.
Jak bardzo moja organizacja jest zgodna z RODO? To pytanie zadaje sobie każdy administrator danych i rzadko kiedy może udzielić w pełni satysfakcjonującej odpowiedzi. Zgodność z RODO to nieustający proces doskonalenia procedur związanych z ochroną danych osobowych i budowania świadomości pracowników w tym zakresie. Audytowanie nie jest ani łatwe ani przyjemne, ale można je zorganizować tak, aby przebiegało z jak najmniejszym obciążeniem dla całej organizacji.
Kto przeprowadza audyt?
Osobą przeprowadzającą audyt zgodności z RODO jest zazwyczaj inspektor ochrony danych osobowych, przy aktywnym udziale administratora danych i pracowników u niego zatrudnionych. Często zdarza się jednak, że IOD jest na tyle obciążony codziennymi obowiązkami, że nie jest w stanie przeprowadzić audytu. Nie zawsze ma też wystarczające doświadczenie w tym zakresie. To bolączki, z którymi boryka się wielu inspektorów. Dobrze zrobiony audyt jest czasochłonny i wymaga fachowej wiedzy. Warto pamiętać, że samo RODO nakłada na administratora obowiązek wspierania inspektora przy realizacji jego zadań, zapewniając mu odpowiednie zasoby, dostęp do danych osobowych i operacji przetwarzania i zasoby konieczne do utrzymania jego wiedzy fachowej (art. 38 ust. 2 RODO).
Od czego zacząć?
Podstawą jakichkolwiek działań audytorskich powinien być plan audytu. W zależności od tego, czy przeprowadzany będzie kompleksowy audyt czy tylko częściowy, plan musi dokładnie precyzować co i w jakim momencie będzie sprawdzane. W praktyce założenie, że uda się zrobić całkowity audyt za jednym razem bywa błędne. Ogrom procesów przetwarzania danych może sparaliżować nie tylko faktyczną realizację audytu zgodnie z terminem, ale także nadmiernie obciążyć pracowników administratora zaangażowanych w pomoc przy audycie. Dobrym pomysłem jest ustalenie priorytetów, wybranie obszarów audytu, które są szczególnie ważne dla administratora (bo np. wiążą się z największym ryzykiem naruszenia ochrony danych osobowych) oraz określenie czasu, w którym audyt tego obszaru powinien zostać zakończony.
Badanie procesów od A do Z
Gdy już wytypujemy obszar do audytu, konieczne jest prześledzenie go od samego początku do końca – od gromadzenia danych, poprzez ich obieg po organizacji, kończąc na ich archiwizacji i niszczeniu. Wiąże się to z przeprowadzaniem rozmów z wieloma osobami z różnych działów, sprawdzaniem miejsc przechowywania danych, metod ich przechowywania, przesyłania i niszczenia. Ponadto konieczne jest zapoznanie się z wszelkimi przepisami sektorowymi i wytycznymi Prezesa UODO, które mogą w sposób szczegółowy regulować dany proces przetwarzania danych osobowych.
Narzędzia do audytu
Do przeprowadzenia audytu inspektor ochrony danych osobowych może wykorzystać różne narzędzia, takie jak: ankiety, rozmowy z pracownikami, oględziny miejsc, wgląd do nośników danych i do systemów danych informatycznych, wgląd do dokumentacji. Popularnym narzędziem są ankiety, bo dzięki nim można zbadać potencjalnie dużą grupę odbiorców i analizować te dane pod kątem jakościowym i ilościowym. Ankieta powinna być odpowiednio zbudowana, pytania zamknięte powinny przeplatać się z otwartymi. Warto dawać pytania kontrolne, które weryfikują poprzednio udzielone odpowiedzi.
Plan naprawczy
Przeprowadzenie audytu powinno zakończyć się przygotowaniem sprawozdania przez audytora wraz z zaleceniami, co można zmienić, aby wyeliminować słabe strony ochrony danych osobowych w organizacji. Wdrażanie planu naprawczego nie powinno być scedowane na audytującego IOD-a, to pracownicy merytoryczni u administratora powinni być odpowiednio do tego zadania oddelegowani. Przekazując zalecenia administratorowi, warto proponować kilka rozwiązań, bardzo cenne mogą okazać się sugestie pracowników, którzy sami nierzadko widzą łatwe i proste do wdrożenia rozwiązania naprawcze.
Przygotowujesz się do audytu zgodności z RODO w swojej organizacji? Szukasz wzorów ankiet, planu audytu czy też przykładowego formularza sprawozdania z audytu? Znajdziesz je wszystkie w LEX Ochrona Danych Osobowych.
Powyższy tekst powstał w oparciu o komentarz praktyczny pt. „Okiem IOD-a - jak dobrze zrobić audyt zgodności z RODO?”, którego autorem jest Sylwia Czub-Kiełczewska – ekspert do spraw ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl). Obecnie wspiera swoją wiedzą i doświadczeniem procesy ochrony informacji w spółkach kapitałowych, agencjach reklamowych, jednostkach samorządowych. Świadczy także usługi zewnętrznego Inspektora Ochrony Danych.
Product Manager LEX Ochrona Danych Osobowych