03.08.2023

Audyty zgodności z RODO – prawdy i mity

Anna Dąbrowska - Lipka

Wokół audytów zgodności z RODO narosło wiele mitów. Postaramy się je obalić. 

Jeżeli prawidłowo wdrożono RODO i w przedsiębiorstwie nie doszło do znaczących zmian w zakresie prowadzenia działalności, audyty zgodności są całkowicie zbędne. – MIT

 

Po pierwsze, administrator powinien regularnie dokonywać przegląd i ocenę skuteczności wdrożonych zabezpieczeń danych osobowych. Zatem nawet jeżeli nie doszło do istotnych zmian w zakresie działania przedsiębiorstwa, należy zweryfikować, czy przyjęte zasady są przestrzegane oraz czy zapewniają właściwą ochronę, przy uwzględnieniu aktualnych zagrożeń oraz dostępnych na rynku zabezpieczeń. Należy wziąć pod uwagę, że technologie przetwarzania oraz zabezpieczenia dostępne na rynku mogły ulec zmianie, a zaprojektowane podczas wdrożenia procedury mogą być już przestarzałe lub niedostosowane do podmiotu. 

Po drugie, administrator jest odpowiedzialny nie tylko za przestrzeganie zasad przetwarzania danych osobowych, ale również za wykazanie ich przestrzegania. Jest to tzw. zasada rozliczalności. Audyt zgodności RODO oraz powstała na jego bazie dokumentacja (np. raport) stanowią adekwatne narzędzia do potwierdzenia stosowania zasady rozliczalności. 

Po trzecie, jednym z obowiązków inspektora ochrony danych jest monitorowanie przestrzegania RODO oraz polityk administratora lub procesora w dziedzinie ochrony danych osobowych, w tym podejmowanie działań zwiększających świadomość, przeprowadzanie szkoleń personelu uczestniczącego w operacjach przetwarzania oraz audytów (art. 39 ust. 1 lit. b) RODO). Wykonanie tego zadania nie powinno mieć charakteru jednorazowego, lecz charakteryzować się cyklicznością oraz regularnością. Rekomendowane jest opracowywanie tzw. planów audytów. 

 

 Przepisy RODO precyzują, że audyt zgodności powinien być dokonywany nie rzadziej niż raz na dwa lata. – MIT

 

Przepisy RODO nie definiują częstotliwości przeprowadzania audytów zgodności. Decyzja w tym zakresie należy do konkretnego podmiotu. Zaleca się, aby audyty zgodności były przeprowadzane co najmniej raz w roku oraz w przypadku wystąpienia nieprawidłowości w stosowaniu RODO (np. dopuszczenia się naruszenia), jak również w sytuacji zmian w sposobie przetwarzania danych osobowych oraz w środowisku, w którym funkcjonuje podmiot (procesy połączenia z innymi podmiotami, zmiana profilu działalności, wdrożenie nowych funkcjonalności w zakresie przetwarzania danych osobowych, itd.). Ważne, by dany podmiot był w stanie uzasadnić stosowaną przez niego częstotliwość audytów, zwłaszcza, gdy są one przeprowadzane rzadziej. 

Jedynym właściwym, a zarazem wystarczającym narzędziem do przeprowadzenia audytów jest wykorzystanie ankiety. – MIT

 

Podczas przeprowadzania audytu warto wykorzystać różne narzędzia, takie jak: weryfikacja dokumentacji, rozmowy z pracownikami poszczególnych działów, oględziny miejsc, w których są przetwarzane dane osobowe, obserwacja, wgląd do systemów informatycznych. Ankieta jest jednym z dostępnych narzędzi, natomiast warto zastosować kilka z nich, żeby audytor mógł właściwie ocenić stosowanie przepisów w RODO w kontrolowanym podmiocie oraz przedstawić rekomendacje dotyczące poprawy. 

 Audyt należy udokumentować. – PRAWDA 

 

Z każdego audytu należy sporządzić dokumentację, np. raport, który będzie zawierał opis podjętych działań, wyniki kontroli, wykaz nieprawidłowości oraz rekomendacje w zakresie poprawy. Zaleca się również przygotowanie harmonogramu ich wdrożenia. 

Audyt zgodności zawsze musi dotyczyć całego podmiotu. – MIT

 

Istnieje możliwość przeprowadzenia audytu częściowego dotyczącego wybranych procesów przetwarzania (np. konkretnych działów przedsiębiorstwa).

 

Audyty powinny być zawsze zaplanowane z wyprzedzeniem. Nie zaleca się przeprowadzania audytów doraźnych. – MIT

 

Warto planować przeprowadzanie audytów zgodności, żeby właściwie się do nich przygotować oraz optymalnie wykorzystać zasoby. Natomiast, biorąc pod uwagę podejście oparte na ryzyku oraz nieprzewidziane zdarzenia, na które należy szybko reagować, organizacja powinna przewidywać również przeprowadzanie audytów w trybie doraźnym. 

 

 

 

 

 

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.