Audyt RODO

Audyt RODO, audyt zgodności z RODO – typ audytu, który sprawdza zgodność funkcjonowania firmy lub organizacji pod kątem zgodności z przepisami Ogólnego rozporządzenia o ochronie danych osobowych. Audyt RODO może wykonać zarówno wyznaczony pracownik, jak i zewnętrzny audytor.

Sytuacja prawna[edytuj | edytuj kod]

Pojęcie audytu zgodności z RODO łączy się z funkcją Inspektora Ochrony Danych Osobowych. IOD, to, za motywem 97 preambuły do RODO, osoba dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych^[1].

Firma lub organizacja, bez względu na to, czy jest administratorem czy podmiotem przetwarzającym, powinna wyznaczyć IOD, jeśli jej główna działalność obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę. W takim przypadku monitorowanie zachowań osób oznacza między innymi wszelkie formy obserwowania i profilowania w internecie, także dla celów reklamy behawioralnej. Organy administracji publicznej mają zawsze obowiązek wyznaczenia IOD (z wyjątkiem sądów w ramach sprawowania wymiaru sprawiedliwości)^[2].

Obowiązek przeprowadzenia audytu zgodności z RODO nie jest zapisany bezpośrednio w rozporządzeniu, jednak konieczność jego przeprowadzania wynika pośrednio z jego artykułów. W art. 5 RODO wprowadzono zasadę rozliczalności. Według niej administrator danych jest odpowiedzialny nie tylko za przestrzeganie przepisów dotyczących procesów przetwarzania danych, ale musi też być w stanie wykazać przed organem nadzorczym, że ich przestrzega, przykładowo poprzez okazanie raportów poaudytowych^[3].

Według art. 24 RODO:

administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane^[4].

Według art. 39 RODO do zadań IOD należą m.in:

monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty^[5]

Realizacja tego zadania przez inspektora nie powinna mieć charakteru jednorazowego, lecz charakter ciągły i długofalowy^[6].

Stanowisko Urzędu Ochrony Danych Osobowych[edytuj | edytuj kod]

W praktyce cykliczne przeprowadzenie audytu zgodności z RODO jest niezbędne, aby przetwarzać dane osobowe zgodnie z obowiązującym prawem. Stanowisko to podziela Urząd Ochrony Danych Osobowych. Wśród zestawu 27 pytań^[7], które urzędnicy UODO standardowo zadają podczas kontroli, znajdują się następujące zagadnienia:

Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?

UODO rekomenduje stworzenie planu audytów. Z uwagi na podejście oparte na ryzyku i nieprzewidziane zdarzenia, na które należy szybko reagować, plan audytów powinien przewidywać tryb doraźny^[8].

Najważniejsze elementy audytu RODO[edytuj | edytuj kod]

Audyt RODO identyfikuje potencjalne zagrożenia w systemie ochrony danych osobowych oraz zaproponowanie odpowiednich działań naprawczych. Przeprowadzenie audytu zgodności z RODO powinno obejmować aspekty organizacyjne, ludzkie, prawne i techniczne^[9].

Plan działań różni się w zależności od organizacji^[10], ale najczęściej obejmuje:

Warsztat wstępny z osobą odpowiedzialną za kwestie związane z RODO w organizacji
Warsztaty praktyczne dla kierowników/managerów poszczególnych działów - inwentaryzacja procesów
Opracowanie mapy procesów przetwarzanie danych osobowych odwzorowującej wszystkie aktywności występujące w danym podmiocie
Audyt fizyczny - wizja lokalna kluczowych pomieszczeń w organizacji tj. m.in: archiwum, serwerownie, kluczowe pomieszczenia biurowe, wydzielone stanowiska biurowe w przestrzeni logistycznej, magazynowej lub produkcyjnej
Analiza dokumentacji RODO, takiej jak umowy powierzenia przetwarzania, zgody, obowiązki informacyjne, RCP, procedury, polityki itd. analiza strony internetowej, aplikacji mobilnej i wszelkich narzędzi technologicznych uczestniczących w procesach przetwarzania danych.
Przygotowanie sprawozdania - raportu z audytu RODO, który jest jednocześnie wstępnym planem wdrożenia wymaganych zmian

Przypisy[edytuj | edytuj kod]

↑ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 97 preambuły
↑ Czy moja firma/organizacja musi wyznaczyć inspektora ochrony danych (IOD)? - Komisja Europejska [online], commission.europa.eu [dostęp 2024-05-06] (pol.).
↑ Audyt RODO - wszystko co musisz wiedzieć [online], LexDigital, 5 maja 2024 [dostęp 2024-05-06] (pol.).
↑ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 24
↑ ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 39
↑ Zadania IOD - UODO [online], archiwum.uodo.gov.pl [dostęp 2024-05-06] (pol.).
↑ Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-05-06] (pol.).
↑ Zadania IOD - UODO [online], archiwum.uodo.gov.pl [dostęp 2024-05-06] (pol.).
↑ Dlaczego warto przeprowadzić audyty zgodności RODO [online], www.gazetaprawna.pl, 31 października 2023 [dostęp 2024-05-06] (pol.).
↑ Audyt RODO - wszystko co musisz wiedzieć [online], LexDigital, 5 maja 2024 [dostęp 2024-05-06] (pol.).

[1] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 97 preambuły

[2] Czy moja firma/organizacja musi wyznaczyć inspektora ochrony danych (IOD)? - Komisja Europejska [online], commission.europa.eu [dostęp 2024-05-06] (pol.).

[3] Audyt RODO - wszystko co musisz wiedzieć [online], LexDigital, 5 maja 2024 [dostęp 2024-05-06] (pol.).

[4] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 24

[5] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), art. 39

[6] Zadania IOD - UODO [online], archiwum.uodo.gov.pl [dostęp 2024-05-06] (pol.).

[7] Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-05-06] (pol.).

[8] Zadania IOD - UODO [online], archiwum.uodo.gov.pl [dostęp 2024-05-06] (pol.).

[9] Dlaczego warto przeprowadzić audyty zgodności RODO [online], www.gazetaprawna.pl, 31 października 2023 [dostęp 2024-05-06] (pol.).

[10] Audyt RODO - wszystko co musisz wiedzieć [online], LexDigital, 5 maja 2024 [dostęp 2024-05-06] (pol.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]