Rozporządzenie o ochronie danych osobowych, czyli RODO, weszło w życie 25 maja 2018 roku. Zawiera ono przepisy dotyczące ochrony osób fizycznych w kontekście przetwarzania danych osobowych. Podmioty, które nie przestrzegają tychże przepisów czekają bardzo wysokie kary finansowe. Nic więc dziwnego, że wiele podmiotów i organizacji zastanawia się, czy prowadzona przez nich działalność jest zgodna z RODO. Wykonując audyt zgodności z RODO z łatwością uzyskają odpowiedź.
Co to jest audyt zgodności z RODO?
Każdy audyt, a więc także ten zgodności z RODO jest niezależnym procesem, który ma na celu pozyskanie wiedzy czy podejmowane w organizacji działania są zgodne z kryteriami audytu. Audyt zgodności z RODO może mieć charakter zarówno wewnętrzny, jak i zewnętrzny. Jeśli zostanie przeprowadzony w rzetelny sposób, to wskaże zarówno mocno, jak i słabe strony w zakresie ochrony danych osobowych w danej organizacji. Dostarczając informacji o tym, co należy w tym względzie poprawić, pozwoli wdrożyć zmiany, a tym samym uniknąć bardzo wysokich kar finansowych
Jak powinno wyglądać przeprowadzanie audytu zgodności z RODO?
Do wykonania rzetelnego audytu zgodności z RODO można wykorzystać bardzo różne narzędzia. Wiele istotnych informacji dostarczą rozmowy z pracownikami. Dobrze sprawdzają się również ankiety zawierające zarówno otwarte, jak i zamknięte pytania. Osoba wykonująca audyt musi uzyskać wgląd do dokumentów. Powinny one zostać przejrzane pod kątem przetwarzania danych osobowych. Kontroli podlegać muszą także systemy informatyczne i nośniki danych. Przeprowadzając audyt należy też sprawdzić treści zgód i klauzul informacyjnych. Końcowym etapem audytu jest przygotowanie raportu, w którym opisane zostaną niezgodności z przepisami RODO oraz sposoby ich usunięcia.
Kiedy wykonać audyt zgodności z RODO?
Audyt zgodności z RODO to proces, który powinien być wykonywany więcej niż tylko jeden raz. Jego wykonanie jest wskazane na każdym etapie działalności organizacji, gdyż warunki przetwarzania danych nie są stałe, ale ulegają zmianom. Zawsze mogą pojawić się nowe zadania powiązane z przetwarzaniem tychże danych. W organizacji, w której jeszcze nie zostały wdrożone przepisy RODO przeprowadzany jest audyt wstępny. Taki audyt powinien też zostać wykonany w organizacji, która dopiero rozpoczyna działalność. Audyt może być wykonywany także okresowo. Na ogół jest on przeprowadzany w celu sprawdzenia czy wdrożone rozwiązania w zakresie bezpieczeństwa danych osobowych są przestrzegane przez wszystkich pracowników. Taki okresowy audyt może być wykonywany raz w roku. Wykaże on, nie tylko czy zasady bezpieczeństwa są przestrzegane, ale pozwoli też sprawdzić, czy stosowane dotychczas procedury bezpieczeństw danych osobowych nie są przestarzałe.
Adam Kulpa (Inspektor ochrony danych)