Audyt powdrożeniowy RODO – odpowiedź na wątpliwości przedsiębiorców

 

RODO (ogólne rozporządzenie o ochronie danych) nie jest zbiorem gotowych rozwiązań i nie istnieje jeden uniwersalny algorytm postępowania prowadzący do spełnienia wymagań rozporządzenia.  RODO tworzy pewne ramy, a zadaniem każdej organizacji jest ich wypełnienie, stworzenie swojego indywidualnego systemu ochrony. 

Co jeśli organizacja już wypracuje swój model ochrony danych osobowych? RODO daje wiele możliwości działania w obszarze ochrony danych, ale jednocześnie elastyczność ta, jest przyczyną braku pewności, że wprowadzone rozwiązania są właściwe. Czy menedżerowie organizacji po wdrożeniu RODO mają czekać na ewentualne kontrole i potencjalne kary?

“- Zawsze należy przeprowadzić audyt powdrożeniowy, dzięki któremu można zlokalizować luki i sprzeczności mogące mieć krytyczny wpływ na procesy biznesowe organizacji” – mówi Teresa Grabowska – Prezes Zarządu ECDP ODO. “- Pozwala on odpowiedzieć na pytania, czy zostały osiągnięte cele zakładane wstępnie oraz czy w nowych warunkach istotne dla działalności procesy, mogą być jeszcze bardziej efektywne. Audyt pozwala stwierdzić, czy wdrożenie w całości zakończyło się sukcesem, zdefiniować protokoły rozbieżności oraz dalsze wytyczne bądź procedury naprawcze.”

Teresa Grabowska wskazuje na dwa rodzaje audytu powdrożeniowego. Pierwszy z nich ma na celu sprawdzenie prawidłowości przestrzegania przepisów unijnych RODO oraz krajowych Urzędu Ochrony Danych Osobowych (UODO). Audyt ten może być przeprowadzony u Administratora Danych Osobowych (ADO) przez podmiot zewnętrzny wyspecjalizowany w audycie RODO  lub przeprowadzony przez własnego Inspektora Ochrony Danych (IOD). W tym przypadku audyt przebiega bezkonfliktowo, ponieważ wszystkie strony są zainteresowane znalezieniem słabych stron i wskazaniem konstruktywnych rozwiązań.

Drugi rodzaj audytu to audyt u Procesora, który realizowany jest na zlecenie ADO. Celem tego audytu jest sprawdzenie czy podmiot któremu zamierza powierzyć (lub już powierzył) przetwarzanie danych osobowych jest wiarygodny tzn. czy przetwarza i chroni prawidłowo dane osobowe (art. 28 RODO). W przypadku audytu u Procesora, bywa, że nie leży w jego interesie ponieważ jego wynik może wpłynąć na obowiązującą lub zawieraną umowę o przetwarzaniu danych i wówczas współpraca może być utrudniona.

“- Audyt dotyczący ochrony danych osobowych powinien być przeprowadzony rzetelnie bo inaczej po prostu nie ma sensu – mówi mówi Teresa Grabowska – Prezes Zarządu ECDP ODO. “- Dlatego już na etapie wyboru audytora należy bardzo dokładnie przyjrzeć się kandydatowi /podmiotowi. Działalność audytora ODO – w odróżnienie od biegłych rewidentów badających sprawozdania finansowe – nie jest jeszcze prawnie regulowana, dlatego przed powierzeniem mu zadania trzeba sprawdzić jego doświadczenie, znajomość specyfiki branży, przyjrzeć się jego referencjom, zrealizowanym projektom, porozmawiać na tematy merytoryczne lub nawet zlecić wycinkowe zadanie z obszaru ochrony danych i w ten sposób sprawdzić jego wiedzę i fachowość. Bardzo dokładnie należy ustalić zakres przedmiotu umowy tzn. czy poza stwierdzeniem konkretnych niedociągnięć audytor przedstawi nam wnioski poaudytowe, szczegółowe rekomendacje dalszych działań i czy zaoferuje swoją pomoc (na jakich warunkach) w ich wdrażaniu. Istotne jest zawarcie klauzuli o poufności lub odrębnej umowy o zachowaniu poufności NDA (non –disclosure agrement) oraz umowy powierzenia  przetwarzania danych. Nie mniej ważne jest zagwarantowania sobie odpowiedniego składu zespołu audytorskiego oraz praw autorskich do raportu audytowego” – dodaje Teresa Grabowska.

Rozporządzenie RODO obowiązuje od dnia 25 maja 2018 r we wszystkich krajach Unii Europejskiej. Od tej daty wszystkie podmioty mają obowiązek w swojej działalności stosować jego przepisy.

Brak wdrożenia odpowiednich przepisów może mieć groźne konsekwencje: zastosowanie środków naprawczych, kary finansowe, odpowiedzialność karna, cywilna, dyscyplinarna a takżę utrata reputacji przez organizację.

 

Wiele organizacji przy wdrażaniu RODO skorzystało z pomocy wyspecjalizowanych ekspertów zewnętrznych (kancelarie, firmy doradcze). Większość przedsiębiorców zrobiła to we własnym zakresie i w ograniczony sposób, posługując się poradnikami, które nie zawsze były prawidłowe. Przedsiębiorcy mogli m. in. nie uwzględnić zapisów krajowej ustawy o ochronie danych osobowych opublikowanej dopiero 24 maja 2018 r a regulującej np. zapisy Kodeksu Pracy. UODO dość późno, na przełomie maja i czerwca 2018 r. rozpoczął publikację rekomendacji, wytycznych, porad oraz organizacji szkoleń dla Inspektorów Ochrony Danych (IOD) Istniejący konflikt kompetencyjno-interpretacyjny pomiędzy Urzędem Nadzoru a Ministerstwem Cyfryzacji dodatkowo utrudnia pozyskiwanie rzetelnych informacji przez przedsiębiorców, którzy mogą się czuć w tej sytuacji zdezorientowani.

 Z opublikowanego niedawno raportu IT Cisco Systems wynika, że organizacje, które prawidłowo dostosowały swoją działalność do przepisów RODO w porównaniu z podmiotami nieprzygotowanymi były o 15 % mniej narażone na incydenty, miały mniejszą o 133.000 rekordów liczbę wycieku danych, poświęcały o 3 godziny mniej czasu na przywrócenie sprawności systemu IT.

Więcej o audycie RODO na stronie Instytutu Biznesu.

 

 

Teresa Grabowska – Prezes Zarządu ECDP ODO, manager z ponad 30-letnim doświadczeniem zawodowym, w tym 20-letnim stażem na wysokich stanowiskach kierowniczych w bankach i towarzystwach ubezpieczeniowyuch. Od 2010 roku prowadzi firmę TG-Doradztwo i Zarządzanie wyspecjalizowaną w doradztwie dla zakładów ubezpieczeniowych i firm IT, która organizuje m.in. konferencje i szkolenia wewnętrzne na najbardziej aktualne dla rynku tematy. Prowadzi wykłady, seminaria oraz publikuje artykuły w prasie branżowej.

Kieruje ECDP ODO, która świadczy usługi dla podmiotów rynkowych w zakresie wdrożenia nowych przepisów o ochronie danych osobowych, audytu powdrożeniowego oraz pomoc w przygotowaniu organizacji do uzyskania certyfikacji. Prowadzi szkolenia dla przedsiębiorstw i innych podniotów gospodarczych w zakresie ochrony danych osobowych oraz warsztaty dla Inspektorów Ochrony Danych.

 

Agencja Informacyjna

 

Agencja InformacyjnaGospodarka /MMS/ 25.03.19