Kwestie związane z RODO w ostatnich dniach pojawiają się bardzo często, w Internecie, mediach, a nawet w luźnych towarzyskich rozmowach. Przedmiotowy temat obecny jest również od dawna na blogu Kancelarii TMH, a zatem tym, którzy chcą przypomnieć sobie najważniejsze aspekty tego „głośnego” rozporządzenia odsyłam do ostatnich wpisów na blogu. Tym niemniej, szczególnie istotna jest praktyczna kwestia związana z RODO – jak wdrożyć RODO i jak przeprowadzić audyt RODO?
Spis treści
Jak przeprowadzić audyt RODO?
Na czym polega audyt RODO i jak go przeprowadzić? Na wstępie warto odpowiedzieć sobie na pytanie, czym w ogóle jest audyt i jakie zastosowanie może mieć przy tak wielkiej zmianie obowiązujących przepisów prawa, jakie przyniosło rozporządzenie ogólne o ochronie danych osobowych. Audyt to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu oraz jego obiektywnej oceny w celu określenia stopnia kryteriów audytu.
Natomiast rolą audytu w kontekście RODO jest inwentaryzacja posiadanych przez organizację zasobów informacji oraz metod ich przetwarzania oraz ochrony. Pozwala on sprawdzić, jakie wymagania przewidziane przez akt prawny organizacja już spełnia oraz jakie działania należy podjąć, aby w pełni móc zarekomendować czynności korygujące – takie, jakie winno się podjąć, by dostosować się do funkcjonowania na gruncie RODO. W szczególności audyt pozwala sprawdzić, jakie kategorie danych osobowych są przetwarzane w organizacji oraz czy takie przetwarzanie jest zgodne z RODO.
Audyt RODO pozwala także ustalić czy realizowany jest obowiązek przejrzystego informowania i komunikacji z osobą, której dane dotyczą, czy realizowany jest obowiązek informacyjny, czy osoba, której dane dotyczą ma wgląd do tych danych.
Podczas dokonywania audytu należy mieć na względzie także sześć zasad audytowania – rzetelność, uczciwe przedstawienie wyników, należytą staranność zawodową, poufność, niezależność oraz podejście oparte na dowodach. Sam proces audytowania można natomiast podzielić na następujące etapy – inicjowanie audytu, przygotowanie działań audytowych, przeprowadzenie działań audytowych, przygotowanie i rozpowszechnienie raportu, zakończenie audytu oraz przeprowadzenie działań poaudytowych.
Dobrze wykonany audyt pozwoli na precyzyjne rozeznanie się w możliwościach, które daje nam nowy system. Jak natomiast może przebiegać ze strony praktycznej?
W dużym uproszczeniu audyt RODO będzie się składać z czterech elementów:
- zbierania informacji,
- analizy informacji,
- pomocy w podjęciu decyzji odnośnie do dostępnych rozwiązań,
- wdrożenia rozwiązań.
Samo wdrożenie nowych rozwiązań w organizacji również jest wieloaspektowe. W szczególności mogą pojawić się nowe zalecenia poaudytowe, takie jak nowe klauzule informacyjne, respektowanie zasad ogólnych, zmiany w politykach bezpieczeństwa, i wiele innych działań, których konieczność podjęcia może wykazać audyt.
Jak powinno wyglądać samo przeprowadzenie audytu? Przede wszystkim powinno polegać na zbieraniu i weryfikowaniu informacji. Wszystkie informacje związane z celami, zakresem oraz kryteriami audytu powinny być gromadzone poprzez pobieranie próbek audytowych w jego czasie, a następnie weryfikowane.
Metody pobierania próbek to przede wszystkim rozmowa, obserwacja, przegląd dokumentów, obserwacja systemów ochrony danych. Wreszcie samo opracowanie ustaleń z audytu jest chyba najważniejszą kwestią związaną z audytowaniem pod kątem RODO. Dlaczego? Ponieważ pozwala na scharakteryzowanie podsumowania z przebiegu audytu, kontroli zbieżności już istniejących rozwiązań z prawem (co przełoży się na ilość zaleceń i wdrożeń) i w końcu na zaproponowaniu konkretnych rozwiązań.
Wnioski płynące z audytu powinny prowadzić do rekomendacji mających na celu dostosowanie oraz udoskonalenie systemu ochrony danych.
W największym uproszczeniu: Prawnicy Kancelarii TMH rozpoczynają audyt od przeprowadzenia wizji lokalnej u Klienta (najczęściej z udziałem specjalisty-informatyka) oraz zadania Klientowi szeregu pytań związanych z jego działalnością. Następnie, informacje zebrane podczas wizji lokalnej służą Kancelarii do przygotowania trzech kluczowych „elementów”:
- kompleksowej dokumentacji RODO dla Klienta (w tym zawierają się nie tylko polityka bezpieczeństwa czy polityka prywatności, lecz również wszelkie niezbędne wzory, w tym wzory wiadomości mailowych);
- przekazania szeregu zaleceń związanych z dostosowaniem działalności do przepisów RODO;
- przeprowadzenia szkolenia z zakresu RODO.
Audyt RODO – ile kosztuje?
Cena audytu RODO uzależniona jest przede wszystkim od ilości pracy, jaką audytor musi włożyć w analizę organizacji i przeprowadzenie audytu. O ostatecznej cenie decydują w szczególności następujące okoliczności:
- ilość i rodzaj danych osobowych przetwarzanych przez administratora,
- wielkość organizacji,
- liczba pracowników oraz skala działalności.
Co dalej? Postępowanie po audycie
Proces audytu już po raporcie powinno kończyć wdrożenie RODO. Samo zakończenie będzie wieńczyć zastosowanie rozwiązań i zaleceń pokontrolnych. Wdrożenie RODO musi być nad wyraz ostrożne, najlepiej aby doszło do niego według ustalonego wcześniej harmonogramu. Należy pamiętać, że wdrożenie RODO jest obowiązkiem każdego podmiotu przetwarzającego dane osobowe, a niedochowanie obowiązków nakładanych przez rozporządzenie może skończyć się nałożeniem dotkliwych sankcji. O karach przewidzianych przez RODO pisaliśmy już na blogu.
Jeżeli zainteresował Państwa opisany wyżej temat, zapraszamy do kontaktu z Kancelarią (tel.: +48 17 307 07 66, +48 12 307 09 88 lub e-mail: kancelaria@ktmh.pl) oraz do umówienia spotkania w biurze Kancelarii w Rzeszowie lub Krakowie. Istnieje także możliwość udzielenia pomocy zdalnej za pomocą środków porozumiewania się na odległość (tj. telekonferencja lub wideokonferencja).
Julia Bonusiak
Jestem aplikantem radcowskim przy Okręgowej Izbie Radców Prawnych w Rzeszowie. Specjalizuje się w zakresie zagadnień prawa bankowego, windykacji należności Klientów, prawa cywilnego oraz wsparciem w obsłudze prawnej podmiotów gospodarczych.