Audyt RODO, audyt zgodności z RODO – typ audytu, który sprawdza zgodność funkcjonowania firmy lub organizacji pod kątem zgodności z przepisami Ogólnego rozporządzenia o ochronie danych osobowych. Audyt RODO może wykonać zarówno wyznaczony pracownik, jak i zewnętrzny audytor.
Sytuacja prawna
Pojęcie audytu zgodności z RODO łączy się z funkcją Inspektora Ochrony Danych Osobowych. IOD, to, za motywem 97 preambuły do RODO, osoba dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych[1].
Firma lub organizacja, bez względu na to, czy jest administratorem czy podmiotem przetwarzającym, powinna wyznaczyć IOD, jeśli jej główna działalność obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę. W takim przypadku monitorowanie zachowań osób oznacza między innymi wszelkie formy obserwowania i profilowania w internecie, także dla celów reklamy behawioralnej. Organy administracji publicznej mają zawsze obowiązek wyznaczenia IOD (z wyjątkiem sądów w ramach sprawowania wymiaru sprawiedliwości)[2].
Obowiązek przeprowadzenia audytu zgodności z RODO nie jest zapisany bezpośrednio w rozporządzeniu, jednak konieczność jego przeprowadzania wynika pośrednio z jego artykułów. W art. 5 RODO wprowadzono zasadę rozliczalności. Według niej administrator danych jest odpowiedzialny nie tylko za przestrzeganie przepisów dotyczących procesów przetwarzania danych, ale musi też być w stanie wykazać przed organem nadzorczym, że ich przestrzega, przykładowo poprzez okazanie raportów poaudytowych[3].
Według art. 24 RODO:
administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane[4].
Według art. 39 RODO do zadań IOD należą m.in:
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty[5]
Realizacja tego zadania przez inspektora nie powinna mieć charakteru jednorazowego, lecz charakter ciągły i długofalowy[6].
Stanowisko Urzędu Ochrony Danych Osobowych
W praktyce cykliczne przeprowadzenie audytu zgodności z RODO jest niezbędne, aby przetwarzać dane osobowe zgodnie z obowiązującym prawem. Stanowisko to podziela Urząd Ochrony Danych Osobowych. Wśród zestawu 27 pytań[7], które urzędnicy UODO standardowo zadają podczas kontroli, znajdują się następujące zagadnienia:
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
UODO rekomenduje stworzenie planu audytów. Z uwagi na podejście oparte na ryzyku i nieprzewidziane zdarzenia, na które należy szybko reagować, plan audytów powinien przewidywać tryb doraźny[8].
Najważniejsze elementy audytu RODO
Audyt RODO identyfikuje potencjalne zagrożenia w systemie ochrony danych osobowych oraz zaproponowanie odpowiednich działań naprawczych. Przeprowadzenie audytu zgodności z RODO powinno obejmować aspekty organizacyjne, ludzkie, prawne i techniczne[9].
Plan działań różni się w zależności od organizacji[10], ale najczęściej obejmuje:
- Warsztat wstępny z osobą odpowiedzialną za kwestie związane z RODO w organizacji
- Warsztaty praktyczne dla kierowników/managerów poszczególnych działów - inwentaryzacja procesów
- Opracowanie mapy procesów przetwarzanie danych osobowych odwzorowującej wszystkie aktywności występujące w danym podmiocie
- Audyt fizyczny - wizja lokalna kluczowych pomieszczeń w organizacji tj. m.in: archiwum, serwerownie, kluczowe pomieszczenia biurowe, wydzielone stanowiska biurowe w przestrzeni logistycznej, magazynowej lub produkcyjnej
- Analiza dokumentacji RODO, takiej jak umowy powierzenia przetwarzania, zgody, obowiązki informacyjne, RCP, procedury, polityki itd. analiza strony internetowej, aplikacji mobilnej i wszelkich narzędzi technologicznych uczestniczących w procesach przetwarzania danych.
- Przygotowanie sprawozdania - raportu z audytu RODO, który jest jednocześnie wstępnym planem wdrożenia wymaganych zmian
Przypisy
- ↑ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 97 preambuły
- ↑ Czy moja firma/organizacja musi wyznaczyć inspektora ochrony danych (IOD)? - Komisja Europejska [online], commission.europa.eu [dostęp 2024-05-06] (pol.).
- ↑ Audyt RODO - wszystko co musisz wiedzieć [online], LexDigital, 5 maja 2024 [dostęp 2024-05-06] (pol.).
- ↑ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 24
- ↑ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 39
- ↑ Zadania IOD - UODO [online], archiwum.uodo.gov.pl [dostęp 2024-05-06] (pol.).
- ↑ Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-05-06] (pol.).
- ↑ Zadania IOD - UODO [online], archiwum.uodo.gov.pl [dostęp 2024-05-06] (pol.).
- ↑ Dlaczego warto przeprowadzić audyty zgodności RODO [online], www.gazetaprawna.pl, 31 października 2023 [dostęp 2024-05-06] (pol.).
- ↑ Audyt RODO - wszystko co musisz wiedzieć [online], LexDigital, 5 maja 2024 [dostęp 2024-05-06] (pol.).
