Etapy przeprowadzenia audytu RODO

Żeby dobrze wdrożyć RODO w przedsiębiorstwie, trzeba się do tego odpowiednio przygotować. Temu służy audyt RODO.

Co daje audyt?

Najważniejsze cele to:

  • określenie działań w jakich dochodzi do przetwarzania danych osobowych
  • ustalenie czy przetwarzanie danych w firmie jest zgodne z zaleceniami RODO
  • uzgodnienie czy firma posiada ważne podstawy prawne do przetwarzania danych osobowych
  • określenie czy zbierane przez firmę dane osobowe są niezbędne do realizacji celów przedsiębiorstwa
  • ustalenie czy posiadana przez firmę dokumentacja odzwierciedla stan faktyczny oraz umożliwia wykazanie zgodności z RODO
  • zdefiniowanie jak długo przetwarzane są dane osobowe i czy jest to uzasadnione
  • ustalenie czy systemy informatyczne umożliwiają realizację prawa osób, których dane dotyczą.
    RODO audyt pozwoli też stwierdzić jakie będą koszty RODO i pozwolą na opracowanie polityki bezpieczeństwa. Cena takiego audytu ( jeżeli zlecony zostanie firmie zewnętrznej) zaczyna się od kilku tysięcy złotych.

Trzy podstawowe etapy RODO audytu

W ramach RODO audytu wyróżniamy trzy podstawowe fazy:

  • gromadzenie informacji o danych osobowych przetwarzanych przez przedsiębiorcę, czynnościach przetwarzania i wykorzystywanych środkach ochrony;
  • szczegółową analizę zebranych informacji;
  • przygotowanie zaleceń i rekomendacji wdrożeniowych.

Etapy audytu

Bardziej szczegółowo wygląda to następująco.

Wstęp do audytu
Audyt zazwyczaj rozpoczyna spotkanie, gdzie informuje się pracowników w jaki sposób będzie przeprowadzany audyt oraz określa się oczekiwania w stosunku do pracowników z tym związane.

Ustalenie czynności przetwarzania danych osobowych
Gdzie, w jakich działach, w jakim momencie działalności przedsiębiorstwa dochodzi do przetwarzania danych osobowych.

Weryfikacja i ocena dokumentacji
• klauzule informacyjne
• zgody
• umowy / regulaminy w kontekście przetwarzania danych osobowych
• procedury / upoważnienia / oświadczenia

Wizja lokalna
Zbieranie informacji może odbywać się za pomocą ankiet adresowanych do pracowników lub spotkań z nimi. Często audytuje się pracowników ze wszystkich działów, w ten sposób kontrolerzy nie ominą żadnego ewentualnego uchybienia.
Jednak audyt w szczególności dotyczy pracowników z działów: HR, sprzedaży i marketingu i księgowości.

Ustalenie przypadków powierzenia danych osobowych
Ustalenie kiedy i w jakich sytuacjach dochodzi do przekazania danych osobowych lub ich przetwarzania przez podmioty zewnętrzne.

Opracowanie raportu
Audyt kończy się przygotowaniem raportu. W raporcie porównane zostają wyniki audytu ze standardami ochrony danych osobowych narzucanymi przez rozporządzenie RODO.

Jeżeli audyt wykonuje podmiot zewnętrzny, to on przygotowuje taki raport. Jeżeli audyt jest wewnętrzną sprawą przedsiębiorstwa, to przygotowanie raportu pozostaje w gestii firmy.

RODO nie nakazuje administratorowi danych posiadanie takiego raportu, więc audyt nie musi być podsumowany raportem. Należy jednak pamiętać, że istnieje możliwość przeprowadzenia kontroli przez inspektorów Urzędu Ochrony Danych Osobowych i posiadanie raportu z audytu, choćby na taką okoliczność jest wysoce pożądane.