Wdrożenie procedur ochrony i przetwarzania danych osobowych według nowych przepisów RODO wciąż nastręcza wiele trudności przedsiębiorstwom. Wszelkie niedociągnięcia w tym zakresie wiążą się z ryzykiem poważnych konsekwencji, nawet dotkliwych kar finansowych. Aby być pewnym, że zastosowane procedury bezpieczeństwa są prawidłowo sformułowane i równie dobrze realizowane, warto przeprowadzać regularnie audyt ochrony danych osobowych. Można go przeprowadzić we własnym zakresie lub zlecić zewnętrznej firmie. Poniżej wyjaśniamy, na czym taki audyt polega i jakie przynosi korzyści.
Kiedy konieczny jest audyt ochrony danych osobowych?
Aktualne przepisy dotyczące ochrony danych osobowych nie mówią jednoznacznie o obowiązku przeprowadzania sensu stricto audytów, jednak wskazują na konieczność okresowej weryfikacji wdrożonych systemów bezpieczeństwa. Dokładnie RODO nakazuje administratorowi danych osobowych dokonywać okresowej oceny ryzyka ich przetwarzania i sporządzić na ten temat stosowną dokumentację (zasada rozliczalności). Taka ocena skupia się na konkretnych zagadnieniach – ma za zadanie sprawdzić, czy czynności związane z przetwarzaniem danych nie rodzą ryzyka naruszenia praw lub wolności osób fizycznych, których dotyczą.
Tymczasem audyt ochrony danych osobowych zazwyczaj ma nieco szerszy charakter, ponieważ obejmuje także procesy, dokumentację, systemy informatyczne, a nawet pracowników organizacji pod kątem sprawdzenia ich wiedzy na temat ochrony danych.
W praktyce wiele podmiotów ma wątpliwości co do prawidłowości zastosowanych procedur RODO tuż po ich wdrożeniu. Ponieważ błędy w tym zakresie mogą skutkować nawet karą finansową, wiele firm decyduje się już na samym początku skorzystać z pomocy profesjonalnych audytorów zewnętrznych, by ocenili obiektywnie wdrożone procedury i wytypowali ewentualne niedociągnięcia.
Audyt ochrony danych osobowych w większym bądź mniejszym zakresie należy przeprowadzać regularnie (np. raz w roku) i niekoniecznie musi to robić firma zewnętrzna. Dzięki temu można być zawsze dobrze przygotowanym na ewentualną kontrolę RODO.
Jak powinien wyglądać audyt RODO?
Sposób przeprowadzenia audytu zależy od tego, w jakim celu się go robi. Najczęściej jest to audyt zgodności mający sprawdzić, czy firma spełnia wszystkie wytyczne RODO. W tym zakresie wykonuje się zazwyczaj takie czynności jak:
- zdefiniowanie i analiza zbiorów danych osobowych pod kątem adekwatności do celu ich przetwarzania,
- weryfikacja podstaw prawnych przetwarzanych danych,
- analiza dokumentacji m.in. pod kątem legalności i poprawności (czy np. w umowach z klientami stosowane są właściwe zapisy dotyczące zgody na przetwarzanie określonych danych),
- sprawdzenie procedur stosowanych przy przetwarzaniu danych osobowych (m.in. czy są efektywne i zgodne z przepisami),
- analiza systemów informatycznych i sprawdzenie ich bezpieczeństwa,
- sprawdzenie bezpieczeństwa zbiorów danych przechowywanych w formie papierowej,
- ocena zabezpieczeń fizycznych w organizacji dotycząca ochrony zbiorów danych (np. pod kątem ryzyka pożaru lub włamania),
- weryfikacja stopnia przygotowania i wiedzy pracowników na temat zbierania i przetwarzania danych w organizacji.
Każdy taki audyt powinien być zakończony raportem, w którym znajdą się szczegółowe wnioski na temat badanych obszarów. Dokument taki powinien jednak nie tylko opisywać stan faktyczny systemu ochrony danych osobowych w firmie, ale także wyraźnie wskazywać jego słabe punkty i podsuwać rozwiązania naprawcze. Rekomendacje wynikające z audytu powinny być jak najszybciej wdrożone, a ich efektywność oceniona podczas kolejnego okresowego badania.
Do największych korzyści z przeprowadzenia audytu ochrony danych osobowych należy bez wątpienia zyskanie wiedzy na temat stopnia spełnienia przez organizacje wymagań RODO i ewentualnych błędów lub braków w tym zakresie. To z kolei pozwala na udoskonalenie poszczególnych elementów całego procesu w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych, a więc uniknięcia ewentualnych problemów związanych z naruszeniem praw osób, których dane są przetwarzane.
Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)