Usługa „Audyt zgodności z RODO”, polega na sprawdzeniu etapu, na którym znajduje się proces wdrożenia wymagań, zawartych w ogólnym rozporządzeniu o ochronie danych. W prowadzonym badaniu, uwzględnia się kwestie organizacyjne, prawne oraz informatyczne.
Audyt zgodności z RODO, można podzielić na kilka etapów:
- zbieranie informacji – przegląd zabezpieczeń, procedur, prowadzenie rozmów z pracownikami itp.;
- analiza danych – porównanie zebranych informacji z dokumentacją, przyjętą przez audytowany podmiot oraz przepisami prawa;
- przygotowanie dokumentacji audytowej;
- przekazanie i omówienie raportu poaduytowego;
W ramach audytu zgodności z RODO, badamy m. in.:
- jakie zbiory danych osobowych znajdują się w posiadaniu klienta oraz jaki w stosunku do nich jest jego status (administrator danych, procesor);
- jakie kategorie danych osobowych są przetwarzane przez Administratora;
- zupełność oraz poprawność prowadzonego rejestru czynności oraz kategorii przetwarzania;
- przestrzeganie zasad przetwarzania danych osobowych (zasady przetwarzania danych, spełnienie obowiązku informacyjnego, itd.);
- stosowane środki organizacyjno – proceduralne (wdrożone polityki bezpieczeństwa, procedury obiegu dokumentów, upoważnienia i ewidencje itd.);
- stosowane przez klienta środki techniczne (sposób zabezpieczania zasobów na stacjach roboczych, komputerach przenośnych, serwerach, itd.).
- dokumentacje ochrony danych osobowych w odniesieniu do stanu faktycznego;
Efektem końcowym audytu zgodności z RODO, jest przekazanie raportu poaudytowego, zawierającego m. in.:
- opis stanu faktycznego;
- opis wykrytych nieprawidłowości wraz z podaniem podstaw prawnych oraz przedstawieniem dowodów audytowych (zdjęcia, notatki z rozmów z pracownikami itd.);
- opis rekomendowanych działań naprawczych (szczegółowe i dostosowane do specyfiki badanego klienta – na ich podstawie możliwe jest wprowadzenie konkretnych i najkorzystniejszych rozwiązań) .
Audyt wykonywania funkcji Inspektora Ochrony Danych.
Inspektor Ochrony Danych to osoba, która, zgodnie z przepisami RODO, powinna wykonywać swoje zadania i obowiązki w sposób niezależny. Nie oznacza to jednak, że pełnienie tej funkcji nie podlega nadzorowi administratora, który to ponosi pełną odpowiedzialność za działanie niezgodne z przepisami o ochronie danych osobowych. Dlatego też niezwykle istotna jest kwestia kontroli powołanego inspektora, pod kątem wykonywania przez niego zadań, przewidzianych w art. 39 RODO. Audyt wykonywania tej funkcji, może zostać przeprowadzony w organizacji wewnętrznie przez administratora, jak również może zostać zlecony podmiotowi zewnętrznemu, świadczącemu usługi w tym zakresie, takiemu jak Nasza firma.
Kiedy warto przeprowadzić audyt pełnienia funkcji IOD?
Poza oczywistymi przypadkami, kiedy to samo skontaktowanie się z powołanym Inspektorem Ochrony Danych jest problematyczne, a czasem wręcz niemożliwe, nie wykonuje on powierzonych mu zadań i współpraca nie układa się pomyślnie, warto, jako administrator wciąż zachować czujność i sprawować kontrolę nad pracą Inspektora.
Co podczas współpracy z powołanym IOD, powinno zaniepokoić administratora?
1. Kiedy powołany Inspektor nie pojawia się u Państwa, nie przeprowadzając audytów zgodności działania z przepisami o ochronie danych osobowych.
2. W przypadku gdy zachodzi wątpliwość, czy wiedza Inspektora jest wystarczająca i zgodna z aktualnym stanem prawnym.
3. Gdy Inspektor nigdy nie informował i nie informuje Państwa na bieżąco o zmianach w przepisach z zakresu ochrony danych osobowych.
4. W sytuacji, gdy powołany Inspektor nie podnosi poziomu wiedzy pracowników, zaangażowanych w proces przetwarzania danych osobowych, np. nie przeprowadza okresowych szkoleń.
5. Jeśli Inspektor oczekuje dodatkowego wynagrodzenia, za wykonywanie zadań, wskazanych w art. 39 RODO.