RODO

RODO w praktyce: Jak przebiega audyt RODO?

O nas Daniel
www.rybarczyk-kancelaria.pl

Pierwszym krokiem wdrożenia lub poprawy wdrożenia RODO jest najczęściej audyt. Nasza Kancelaria przeprowadza o Klientów audyty prawne stosowania RODO czy też wdrożenia reguł prawnych stosowania RODO. Bez audytu nie sposób zbadać „położenia” i „obiegu” danych osobowych w danej instytucji oraz specyfiki przetwarzania tych danych. Dlatego też nie można sporządzić jakiejkolwiek dokumentacji z zakresu RODO czy też opracować systemów i procedur dotyczących danych osobowych bez uprzedniego audytu.

Jak zaczyna się audyt?

Najpierw przygotowywany jest wstępny plan wdrożeniowy. Ustalamy, co jest potrzebne dla Klienta i jakie będą kroki wdrożenia lub poprawy wdrożenia RODO. Oczywiście plan zawsze ma charakter wstępny, gdyż audyt i stwierdzone nieprawidłowości mogą zmienić ustalone wcześniej etapy wdrożenia. Następnie przystępujemy do ścisłego audytowania czyli pierwszej rozmowy z administratorem danych osobowych. Taka rozmowa ma na celu wstępne ustalenie czy administrator zdaje sobie sprawę z tego czym jest RODO i czym są dane osobowe oraz jak należy się z nimi obchodzić. Sprawdzamy wtedy również między innymi, czyje dane są przetwarzane oraz ustalamy w jakim celu i na jakiej podstawie. W takim spotkaniu powinny uczestniczyć również wszystkie osoby z tzw. „wysokiego szczebla”, które są decyzyjne w danej instytucji np. menedżerowie oraz kierownicy działów. Jeżeli jednak dana instytucja ma skomplikowaną strukturę organizacyjną, wtedy należy podzielić takie rozmowy na odrębne etapy, gdyż jedynie wtedy będzie można ustalić wszystkie szczegółowy dotyczące przetwarzania i obiegu danych osobowych.

Następne etapy audytu

W zależności od stopnia „rozbudowania” danej instytucji, audyt jest pogłębiany tj. dochodzi do rozmów z pracownikami, w szczególności z tymi, którzy w jakiś sposób mają styczność z danymi osobowymi. Na przykład w przedsiębiorstwie zajmującym się sprzedażą wysyłkową mniej uwagi można poświęcić pracownikom kierującym wózkami widłowymi (choć ich również nie można pominąć), a na pewno bardzo dokładnie należy przepytać pracowników działu telemarketingu.

Rozmowy to jednak nie wszystko. Bardzo ważne jest odnotowanie odpowiedzi na każde pytanie oraz swego rodzaju „wizja lokalna”. Audytor sprawdza fizyczne sposoby zabezpieczeń danych osobowych, system pracy, obieg dokumentacji oraz dokumentację z zakresu danych osobowych, którą stosuje dany administrator. Oczywiście to tylko ogólne i standardowe czynności. Każda instytucja jest inna i może wymagać różnych, czasem niekonwencjonalnych działań. Inne czynności będą podjęte w spółce z ograniczoną odpowiedzialnością, której zasięg działań ma charakter regionalny, a inne w szkole, szpitalu czy też u przedsiębiorcy z zagranicznymi kontaktami.

Zakończenie audytu

Audyt powinien być zakończony pisemnym protokołem, który będzie stanowić dla audytora bazę do sporządzenia pisemnych zaleceń dla administratora danych osobowych, a także do późniejszego sporządzenia dokumentacji czy też poprawy istniejącej dokumentacji. Oczywiście finalnym „produktem” audytu są wspomniane pisemne zalecenia po audycie. Niejednokrotnie mają one bardzo obszerną formę i wskazują administratorowi na wszelkie braki i niezgodności w zakresie RODO. Najczęściej zalecenia są podzielone na konkretne działy np. część wstępna, HR, pracownicy, klienci, przekazywanie danych do Państwa Trzeciego, podmioty przetwarzające itd. Jak już wspomnieliśmy, nie sposób ustalić jednego konkretnego sposobu przeprowadzenia audytu, gdyż praca audytora jest zawsze indywidualnie dostosowana do specyfiki danej instytucji. Należy jednak zawsze pamiętać o tym, że bez audytu nie da się efektywnie wdrożyć RODO, gdyż pierwszym i w zasadzie najważniejszym krokiem jest zawsze poznanie swoich błędów i słabości, aby potem móc je naprawić.

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s