Nowoczesna księgowość – stacjonarnie czy online. Poradnik Gazety Prawnej 7/2020
Pakiet Kadrowy: Wynagrodzenia 2021, Czas pracy 2021, Zatrudnianie i zwalnianie pracowników, Uprawnienia rodziców w pracy
Compliance 360° w firmie (PDF)Czy należy audytować działające systemy ochrony danych osobowych?
Według mnie system ochrony danych osobowych powinien działać w cyklu Deminga. Dlatego należy regularnie audytować systemy ochrony danych osobowych. Według mnie co najmniej raz do roku. Proszę też pamiętać, że Państwa organizacje się zmieniają, pojawiają się nowe ryzyka, nowe sposoby przetwarzania danych osobowych itp.
Polecamy: Jak przygotować się do zmian 2021
Po co audytować działające systemy ochrony danych osobowych?
Regularne audyty systemu ochrony danych osobowych mają dać odpowiedź czy system działa skutecznie? Czy system jest aktualny? Czy rozwiązania są adekwatny? Czy podmiot spełnia wymogi prawne? Oczywiście to tylko najważniejsze elementy.
Audyty mają za zadanie znaleźć niezgodności i słabe punkty oraz odpowiedzieć na pytanie jakie czynności doskonalące należy podjąć.
Jakie są fazy audytu?
W trakcje audytu, audytor
- zbiera informacje,
- analizuje informacje,
- opracowuje raport, zalecenie i rekomendacje.
Co będzie chciał zobaczyć audytor?
Audytor na pewno będzie chciał zobaczyć:
- dokumentację wymaganą przez RODO,
- raporty z poprzednich audytów,
- analizy ryzyk,
- rejestr naruszeń,
- itd.
Czy audyt polega tylko na analizie dokumentów?
Wdrożenie systemu ochrony danych osobowych nie polega tylko na sporządzeniu dokumentacji. To zmiana Kultury organizacyjnej Spółki i cały szereg działań. Ponadto często się zdarza, że podmiot ma bardzo dobrze napisaną dokumentację ale niestety nie przestrzega się w nim procedur (z różnych powodów) według mnie analiza dokumentów to tylko jeden z etapów audytu. Często wystarczy spojrzeć czy nie leży na niej kurz.
Dlatego audytorzy powinni sprawdzać jak w praktyce działa system ochrony danych osobowych. Zwracając szczególnie uwagę czy jest skuteczny i czy nie jest pozorny.
Znam jednak przypadki, gdy audyt polega tylko na analizie dokumentacji i zrobieniu ankiet.
Reasumując audyt RODO powinien być w obszarze formalno-prawnym oraz w obszarze technicznym.
Czy robić audyt samodzielnie czy zlecić na zewnątrz?
To zależy od podmiotu. Ja zwykle rekomenduję, żeby robić i audyty samodzielnie (bo wtedy mamy gwarancję, że audytorzy znają specyfikę podmiotu) i zlecać na zewnątrz (zyskując świeże, bezstronne i niezależne spojrzenie).
Czym kończy się audyt?
Audyt powinien zawsze kończyć się raportem i zaleceniami oraz rekomendacjami jeżeli są one potrzebne. Są audytorzy którzy wskazują tylko luki lub niezgodności. Są tacy, którzy wskazują jeszcze ogólne rozwiązania bez większej wartości praktycznej. Najlepsi są audytorzy, którzy podpowiadają jak można realnie rozwiązać dane problemy.
