AUDYT RODO & DODO

Audyt RODO & DODO | Obowiązki administratora danych

RODO
Zgodnie z art. 24 RODO, ogólnie ujmując, administrator danych jest w obowiązku wdrożyć odpowiednie środki techniczne i organizacyjne. Wprowadzone do jednostki/organizacji środki techniczne i organizacyjne powinny być poddawane przeglądom i stosownie aktualizowane ‑ tak, by przeciwdziałać ryzyku naruszenia praw lub wolności podmiotów danych. Wydaje się, że najbardziej rozsądnym rozwiązaniem prawidłowego przeprowadzenia przeglądu, monitorowania, a także doskonalenia tychże środków jest proces audytu, do którego literalnie administrator danych nie jest zobowiązany (tak jak w przypadku chociażby Krajowych Ram Interoperacyjności), ale jest jedną z form umożliwiających udokumentowanie i rozliczalność wymogu przeglądu zgodności z RODO.
DODO
W przypadku jednostek/organizacji, które dodatkowo związane są wymogami wynikającymi z Ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości,
(w ślad za Dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U.UE L z dnia 4 maja 2016 r.))
jednostki takie jak np. straże miejskie/gminne, sądy, organy ścigania ‑ procesu przeprowadzenia czynności audytowych można upatrywać w art. 47 ust. 1 pkt 10 ‑ w kontekście przygotowywania przez Inspektora Ochrony Danych sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych.

Audyt RODO | Podstawa prawna

Za podstawę prawną przeprowadzenia „audytu RODO” można uznać:
  • art. 24 RODO (przegląd stosowanych środków technicznych i organizacyjnych),
  • art. 39 ust. 1 lit. b RODO (monitorowanie przestrzegania RODO jako jedno z zadań Inspektora Ochrony Danych),
  • art. 28 ust. 3 lit. h RODO (czynności audytowe przeprowadzone przez właściwego administratora danych wobec podmiotu przetwarzającego).

Oczywiście nigdzie w zapisach RODO nie znajdziemy regulacji wprost zobowiązujących administratora danych do przeprowadzenia audytu, niemniej jednak, jak wspomniano wyżej, jest jedną z form umożliwiających udokumentowanie i rozliczalność wymogu przeglądu zgodności z RODO.

Audyt DODO | Podstawa prawna

Z racji tego, że Inspektor Ochrony Danych jest w obowiązku sporządzać i przekazywać administratorowi danych raz na rok (do końca I kwartału za rok ubiegły) sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych ‑ obowiązku przeprowadzenia czynności audytowych i ich udokumentowania można upatrywać w powyższym wymogu. Co do zasady, administrator danych będzie podlegał czynnościom audytowym/sprawdzającym przeprowadzanym przez wyznaczonego w organizacji Inspektora Ochrony Danych.
Z kolei zlecenie przeprowadzenia czynności audytowych podmiotowi zewnętrznemu może pomóc Inspektorowi Ochrony Danych zidentyfikować niezgodności, w szczególności w obszarze zabezpieczeń ochrony danych osobowych, a także wdrożonych środków organizacyjnych.
Warto pamiętać jednak, że zlecenie czynności audytowych podmiotowi zewnętrznemu nie zwalnia Inspektora Ochrony Danych ze złożenia właściwemu administratorowi danych sprawozdania zgodnie z terminami wskazanymi w Ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Zakres audytu RODO

Na rynku wykształciło się pojęcie tzw. „audytu RODO”, którym nazywa się proces weryfikacji, czy wdrożone środki techniczne i organizacyjne są adekwatne do zidentyfikowanego ryzyka naruszenia praw lub wolności osób fizycznych, których przetwarzanie dotyczy.

Podczas procesu „audytu RODO” weryfikujemy między innymi:
  • na ile zostały wdrożone polityki ochrony danych i czy są stosowane w praktyce,
  • jak realizowana jest procedura realizacji praw podmiotów danych,
  • jak organizacja zarządza ryzykiem w kontekście ryzyka ogólnego oraz ryzyka dla podmiotów danych (oceny skutków) ‑ w ślad za Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony,
  • proces zapoznawania pracownika z wewnętrznymi regulacjami w obszarze ochrony danych osobowych, delegowania mu stosownych uprawnień do procesów, a także zdejmowania tychże uprawnień,
  • czynności przetwarzania danych/kategorii czynności przetwarzania, kategorii przetwarzanych danych,
  • realizację obowiązku informacyjnego (przegląd treści stosowanych klauzul informacyjnych, a także sposobu ich spełniania),
  • przyjęte regulacje w zakresie ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
  • stosowanych wzorów umów powierzenia przetwarzania danych oraz wprowadzonych do obiegu umów powierzenia przetwarzania danych osobowych,
  • przyjęte regulacje w zakresie zarządzania naruszeniem ‑ komunikowanie naruszeń bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań naprawczych oraz korygujących.


Zakres audytu DODO

Podobnie jak w przypadku „audytu RODO”, tzw. „audyt DODO” powinien obejmować w szczególności weryfikację, czy administrator danych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
Podczas czynności audytowych odnosimy się głównie do wymogów wynikających z art. 22 do 47 Ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Audyt RODO & DODO | Jak go wykonujemy?

Podczas badania zgodności z RODO lub DODO wykorzystujemy trzy metody audytowe:
  • wywiad środowiskowy z pracownikami (metoda próby),
  • weryfikowanie wdrożonych procedur versus stosowanie ich w praktyce,
  • weryfikacja wprowadzonych środków technicznych (aspekt informatyczny).
Czynności audytowe możemy przeprowadzać zarówno na miejscu u Klienta jak i zdalnie ‑ za pośrednictwem powszechnie wykorzystywanych mechanizmów komunikacji zdalnej, jak i autorsko wypracowanych rozwiązań.

Protokół poaudytowy RODO & DODO

Wynikiem przeprowadzonych czynności audytowych jest protokół poaudytowy, w którym konkretnie i klarownie wskazujemy zidentyfikowane niezgodności, a także obszary do doskonalenia. Korzyści z przeprowadzonego „audytu RODO” lub „audytu DODO” powinny być dla jednostki/organizacji wymierne. W praktyce, jednostka/organizacja po takim audycie powinna wiedzieć, jak postępować z danymi osobowymi, by obszarów ewentualnych niezgodności było jak najmniej, a jeśli już pojawią się, to jakie działania wdrażać i za pomocą jakich zasobów, by eliminować niezgodności w optymalnie najkrótszym czasie.
Jako organizacja przeprowadzająca czynności audytowe nie tylko w obszarze RODO czy DODO, ale również w obszarze Krajowych Ram Interoperacyjności, Systemów Zarządzania Bezpieczeństwem Informacji czy cyberbezpieczeństwa ‑ gwarantujemy szerokie podejście do zagadnienia zarządzania danymi osobowymi, co przekłada się na korzyści dla audytowanego.
Audyt RODO & DODO

Kontakt ws. audytu RODO & DODO:

Zadaj pytanie bezpośrednio poprzez formularz kontaktowy:

KLAUZULA INFORMACYJNA