Wokół audytów zgodności z RODO narosło wiele mitów. Postaramy się je obalić.
Jeżeli prawidłowo wdrożono RODO i w przedsiębiorstwie nie doszło do znaczących zmian w zakresie prowadzenia działalności, audyty zgodności są całkowicie zbędne. – MIT
Po pierwsze, administrator powinien regularnie dokonywać przegląd i ocenę skuteczności wdrożonych zabezpieczeń danych osobowych. Zatem nawet jeżeli nie doszło do istotnych zmian w zakresie działania przedsiębiorstwa, należy zweryfikować, czy przyjęte zasady są przestrzegane oraz czy zapewniają właściwą ochronę, przy uwzględnieniu aktualnych zagrożeń oraz dostępnych na rynku zabezpieczeń. Należy wziąć pod uwagę, że technologie przetwarzania oraz zabezpieczenia dostępne na rynku mogły ulec zmianie, a zaprojektowane podczas wdrożenia procedury mogą być już przestarzałe lub niedostosowane do podmiotu.
Po drugie, administrator jest odpowiedzialny nie tylko za przestrzeganie zasad przetwarzania danych osobowych, ale również za wykazanie ich przestrzegania. Jest to tzw. zasada rozliczalności. Audyt zgodności RODO oraz powstała na jego bazie dokumentacja (np. raport) stanowią adekwatne narzędzia do potwierdzenia stosowania zasady rozliczalności.
Po trzecie, jednym z obowiązków inspektora ochrony danych jest monitorowanie przestrzegania RODO oraz polityk administratora lub procesora w dziedzinie ochrony danych osobowych, w tym podejmowanie działań zwiększających świadomość, przeprowadzanie szkoleń personelu uczestniczącego w operacjach przetwarzania oraz audytów (art. 39 ust. 1 lit. b) RODO). Wykonanie tego zadania nie powinno mieć charakteru jednorazowego, lecz charakteryzować się cyklicznością oraz regularnością. Rekomendowane jest opracowywanie tzw. planów audytów.
Przepisy RODO precyzują, że audyt zgodności powinien być dokonywany nie rzadziej niż raz na dwa lata. – MIT
Przepisy RODO nie definiują częstotliwości przeprowadzania audytów zgodności. Decyzja w tym zakresie należy do konkretnego podmiotu. Zaleca się, aby audyty zgodności były przeprowadzane co najmniej raz w roku oraz w przypadku wystąpienia nieprawidłowości w stosowaniu RODO (np. dopuszczenia się naruszenia), jak również w sytuacji zmian w sposobie przetwarzania danych osobowych oraz w środowisku, w którym funkcjonuje podmiot (procesy połączenia z innymi podmiotami, zmiana profilu działalności, wdrożenie nowych funkcjonalności w zakresie przetwarzania danych osobowych, itd.). Ważne, by dany podmiot był w stanie uzasadnić stosowaną przez niego częstotliwość audytów, zwłaszcza, gdy są one przeprowadzane rzadziej.
Jedynym właściwym, a zarazem wystarczającym narzędziem do przeprowadzenia audytów jest wykorzystanie ankiety. – MIT
Podczas przeprowadzania audytu warto wykorzystać różne narzędzia, takie jak: weryfikacja dokumentacji, rozmowy z pracownikami poszczególnych działów, oględziny miejsc, w których są przetwarzane dane osobowe, obserwacja, wgląd do systemów informatycznych. Ankieta jest jednym z dostępnych narzędzi, natomiast warto zastosować kilka z nich, żeby audytor mógł właściwie ocenić stosowanie przepisów w RODO w kontrolowanym podmiocie oraz przedstawić rekomendacje dotyczące poprawy.
Audyt należy udokumentować. – PRAWDA
Z każdego audytu należy sporządzić dokumentację, np. raport, który będzie zawierał opis podjętych działań, wyniki kontroli, wykaz nieprawidłowości oraz rekomendacje w zakresie poprawy. Zaleca się również przygotowanie harmonogramu ich wdrożenia.
Audyt zgodności zawsze musi dotyczyć całego podmiotu. – MIT
Istnieje możliwość przeprowadzenia audytu częściowego dotyczącego wybranych procesów przetwarzania (np. konkretnych działów przedsiębiorstwa).
Audyty powinny być zawsze zaplanowane z wyprzedzeniem. Nie zaleca się przeprowadzania audytów doraźnych. – MIT
Warto planować przeprowadzanie audytów zgodności, żeby właściwie się do nich przygotować oraz optymalnie wykorzystać zasoby. Natomiast, biorąc pod uwagę podejście oparte na ryzyku oraz nieprzewidziane zdarzenia, na które należy szybko reagować, organizacja powinna przewidywać również przeprowadzanie audytów w trybie doraźnym.