Prowadząc przedsiębiorstwa na pewno każdy często spotyka się z pojęciem audytu – czy to od strony przeprowadzającej audyt (np. audyt bezpieczeństwa) czy to jako firma będąca przedmiotem audytu (np. audytu w zakresie BHP). Audyt jest niczym innym jak niezależną oceną czegoś, np. jakiś procesów, rachunkowości czy też poprawności wykonania projektu. W przypadku wdrożenia RODO audyt związany z ochroną danych osobowych w danej firmie jest pierwszym etapem prac.
Czemu audyt RODO jest ważny?
Audyt RODO w jakiejkolwiek organizacji dokonywany jest najczęściej w dwóch przypadkach. Przed samym wdrożeniem RODO w firmie – mówimy wtedy o audycie przedwdrożeniowym, oraz już po wdrożeniu gdy dana firma chce dokonać aktualizacji dokumentacji. W jednym i drugim przypadku audyt pozwala ustalić tzw. punkt startowy działań – czy to naprawczych czy też wdrożeniowych.
Aspektu, którego nie można pomijać jest kwestia świadomości sankcji za brak przestrzegania konkretnych przepisów prawa. W przypadku RODO przepisy dotyczące sankcji znajdują się w samym rozporządzeniu. Audyt pozwala stwierdzić w jakim stopniu nasza organizacja jest “zgodna z RODO” a w jakim nie. Obszary ryzyka łatwo potem przełożyć na sankcje (nie zawsze pieniężne).
W jakich sytuacjach przeprowadza się audyt RODO?
Audyt procedur związanych z ochroną danych osobowych można przeprowadzać w różnych sytuacjach. Przykładowo może to być wejście kapitałowe inwestora do spółki, przejęcie spółki przez inny podmiot lub audyt przeprowadzany przez administratora danych w sytuacji gdy jesteśmy dla niego podmiotem przetwarzającym (procesorem).
Audyt RODO może być przeprowadzany tylko w tym wąskim obszarze ale może być także częścią większego badania prawnego spółki w ramach tzw. badania due diligence, które składa się na kwestie prawne, podatkowe, własność intelektualną (IP), sprawy finansowe i obszar technologii.
Z czego składa się audyt RODO?
Audyt RODO powinien dotyczyć wszystkich obszarów w firmie, w których przetwarzane są dane osobowe. Przetwarzanie należy rozumieć szeroko tak jak to zostało ujęte w samym RODO. W zasadzie poprzez przetwarzanie danych należy rozumieć każdy rodzaj czynności wykonywany na danych osobowych. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
W praktyce przekłada się to na konieczność przeprowadzenia audytu w każdym dziale firmy. Do najczęstszych należy dział HR, dział księgowości, dział handlowy i sprzedaży, dział marketingowy, serwis, call center, ecommerce, itp.
Idąc dalej można systematyzować audyt w oparciu o to czy występujemy jako administrator danych osobowych czy też procesor. Obie te role w procesie przetwarzania danych osobowych mają różne funkcje, prawa i obowiązki. Dla obu tych ról należy zmapować wszystkie procesy przetwarzania danych osobowych zarówno w roli administratora jak i podmiotu przetwarzającego (procesora).
W kolejnym kroku należy przeanalizować posiadaną dokumentację wewnętrzną dotyczącą procedur ochrony danych osobowych. Do takiej dokumentacji zalicza się najczęściej polityka bezpieczeństwa danych (wraz z instrukcjami dotyczącymi systemów informatycznych), umowy powierzenia przetwarzania danych osobowych, polityki prywatności, dokumenty z obowiązkami informacyjnymi, rejestry czynności przetwarzania, rejestry kategorii, rejestry powierzeń oraz analizy ryzyka. Nie jest to oczywiście pełna lista ale najbardziej standardowa, która da Ci obraz tego, z czym trzeba mierzyć się podczas audytu RODO.
Zamów pakiet RODO dla firmy!
-
Pakiet RODO dla sklepu internetowego799,00 zł (z VAT)
-
Pakiet RODO dla firmy usługowej799,00 zł (z VAT)
-
Pakiet RODO dla małej firmy799,00 zł (z VAT)