Co powinien zawierać audyt RODO?

Obowiązujące od maja 2018 Ogólne Rozporządzenie o Ochronie Danych Osobowych czyli tzw. RODO sprawiło, że przedsiębiorcy z jeszcze większą uwagą muszą dbać o bezpieczeństwa danych osobowych.

Po co ten cały audyt RODO?

Poziom świadomości, o tym jak ważna jest dbałość o wrażliwe dane, jest u przedsiębiorców coraz większy. Jednak dziś nie ryzykują oni już „tylko” skazą na wizerunku firmy czy ograniczeniem konkurencyjności firmy. Poprzez RODO Unia Europejska nakłada na przedsiębiorce obowiązki, a ich niespełnienie może grozić karą wynoszącą nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Biorąc pod uwagę jak wiele można stracić niewłaściwie administrując danymi warto zainwestować w dobry audyt RODO. Dobrze przeprowadzony audyt pozwoli poznać stan wyjściowy, zwróci uwagę na ryzyka co pomoże wdrożyć działania redukujące stwierdzone ryzyka.

Audyt RODO- co powinien zawierać?

Dobry audyt RODO powinien zawierać kilka kluczowych elementów. Nie wystarczy proste stwierdzenie o zgodności lub jej braku z wymogami RODO, audyt powinien pomóc firmie zmierzyć się z nową rzeczywistością. Aby mieć gwarancję, że taki audyt dobrze spełni swoją rolę powinien on składać się z poniższych elementów:

1. Audyt wstępny

Ten etap ma na celu rozpoznanie dokładnych potrzeb organizacji. Dzięki dokładnemu określeniu sytuacji wyjściowej, w tym procesów przetwarzania danych pozwoli na właściwe zbudowanie mechanizmów kontrolnych. Jest to bardzo ważny etap, bo ma wpływ na to czy kolejne etapy audytu okażą się skuteczne.

2. Inwentaryzacja

Ma na celu nie tylko określenie baz czy zbiorów danych osobowych. Ważna jest też identyfikacja narzędzi w jakich te dane są obrabiane w procesach przetwarzania, czyli jak organizacja z tych danych korzysta w codziennych procesach operacyjnych. To dzięki temu możliwe będzie właściwe zidentyfikowanie i oszacowanie ryzyk.

3. Ocena

Kluczowym etapem jest ocena czy dane, które zbieramy są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Ważna jest też odpowiedź na pytanie, gdzie organizacja powinna system zbierania i przetwarzania danych poprawić. Zwykle okazuje się, że niektóre dane nie spełniają wymogu czasowego ograniczenia przetwarzania.

Weryfikacja procesów przeważania danych ma też pomóc ocenić kompletność: stosowanych klauzul umownych i informacyjnych ze stronami trzecimi, oraz oświadczeń zgody na przetwarzanie.

4. Raport

Efektem przeprowadzenia audytu zgodności z RODO powinien być odpowiadający potrzebom organizacji raport końcowy. Co ważne informacje zawarte w raporcie nie powinny ograniczać się do opisu błędy i niedoskonałości systemu. Raport powinien przede wszystkim zawierać zalecenia i wskazówki dotyczące dalszego postępowania zmierzającego do usunięcia stwierdzonych nieprawidłowości. Ma też odpowiedź na pytanie, ile jeszcze brakuje organizacji do pełnej merytorycznej poprawności i prawidłowości zbieranych danych.

Rodozgodni.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

twenty − 7 =