Blog Firmowy

Audyt RODO – jak sprawdzić czy Twoja firma jest zgodna z RODO?

⟨⟨ Powrót

Audyt RODO powinien skupiać się na kwestiach prawnych i organizacyjnych oraz na obszarze związanym z IT. W tym artykule skupiamy się na audycie organizacyjno-prawnym. Ale zacznijmy od początku. Od wejścia w życie unijnego ogólnego rozporządzenia o ochronie danych osobowych – nazywanego potocznie RODO – minęło już ponad 5 lat. Przez ten czas jesteśmy już bogatsi w doświadczenie, którego brakowało na samym początku obowiązywania tego aktu prawnego. Można powiedzieć wręcz o panice jaka miała miejsce na kilka miesięcy przed wejściem w życie RODO oraz straszeniu karami. Po kilku latach już wiemy, że sankcje w postaci kar pieniężnych są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych w ostateczności. Straszenie okazało się więc nieuzasadnione. Szczególnie, że wiele z tych kar jest następnie uchylanych przez polskie sądy administracyjne!

Nie oznacza to jednak, że do ochrony danych osobowych w przedsiębiorstwach można podejść po macoszemu. Wręcz przeciwnie. Praktyka z przeprowadzanych wdrożeń, kontroli, orzeczeń sądów pokazuje nam już do czego powinniśmy podejść na poważnie a co jest mniej ważne. Do czego trzeba podejść rygorystycznie a do jakich obszarów można podejść bardziej liberalnie. Dobrym przykładem jest tzw. ,,zgodnoza”, z którą mieliśmy do czynienia przez kilkanaście miesięcy od wejścia w życie nowych regulacji. Nie ważne w jaki sposób przetwarzamy dane, zawsze rekomendowano pozyskanie zgody, co ma się nijak do treści RODO.

Ochrona danych osobowych jest dzisiaj ważniejsza niż kiedykolwiek wcześniej. I będzie ona zyskiwała na znaczeniu z każdym rokiem. Dzieje się tak przez powszechną cyfryzację przedsiębiorstw, wchodzenie do powszechnego użytku technologii opierających się na przetwarzaniu danych (np. sztuczna inteligencja, rozwiązania big data itp.) oraz powszechne korzystanie z urządzeń elektronicznych.

Czym jest audyt RODO?

Audyt zgodności z RODO to badanie mające na celu określenie czy i w jakim stopniu w danej organizacji zostały wdrożone mechanizmy wymagane przez przepisy rozporządzenia. Pozwala on odpowiedzieć na pytanie, jakimi zasobami dysponuje organizacja w zakresie:

  • gromadzenia danych osobowych;
  • przechowywania danych osobowych;
  • przetwarzania danych osobowych.

Prawidłowo wykonany audyt RODO powinien odpowiedzieć również na pytanie o to jakie dane osobowe i w jaki sposób są przetwarzanie w firmie z uwzględnieniem danych wrażliwych.

Audyt RODO – kiedy należy go przeprowadzać?

Zaleca się, aby audyt przeprowadzić jeszcze przed opracowaniem polityki przetwarzania danych osobowych, ponieważ stanowi on punkt wyjścia dla ewentualnych usprawnień. Audyt RODO powinien być przeprowadzony przez zespół składający się z prawników wykwalifikowanych w zakresie praktycznego stosowania przepisów rozporządzenia i obejmować wszystkie procesy w których pojawiają się dane osobowe. Kompleksowy audyt powinien obejmować zarówno dokumentację, analizę baz danych, a także rozmowy z pracownikami.

Przeprowadzenie audytu zawsze kończy się sporządzeniem kompleksowego raportu, który zawiera podsumowanie wyników badania oraz rekomendacje w zakresie zmian z uwzględnieniem specyfiki danej działalności oraz jej skali.

Należy zwrócić uwagę, że – choć przepisy RODO nie nakazują regularnego przeprowadzania audytów, wynika z nich konieczność cyklicznej analizy zgodności infrastruktury z przepisami dotyczącymi ochrony danych osobowych. Wynika to zarówno z treści samego rozporządzenia, jak i zamieszczonych do niego motywów przewodnich.

Z obowiązujących regulacji nie wynika natomiast, w jaki sposób ma wyglądać modelowy audyt, a administratorzy danych osobowych mają w tym zakresie pełną swobodę, która ograniczona jest wyłącznie przez zasadę rozliczalności. Zakłada ona, że administrator danych musi być w stanie wykazać prawidłowość doboru środków mających na celu zapewnienie zgodności przetwarzania danych.

Możliwość dochowania zasady rozliczalności ma szczególne znaczenie w sytuacji, kiedy podmiot wdrażający RODO jest kontrolowany przez organ nadzorczy. Audyt RODO ma za zadanie odpowiedzieć na pytanie, czy firma stosuje poszczególne mechanizmów i zasad przewidzianych w rozporządzeniu, jak profilowanie kwalifikowane, transferowanie danych do podmiotów mających siedzibę w państwie trzecim, czy zasada minimalizmu przetwarzania danych.

Czas trwania audytu jest uzależniony przede wszystkim od skali i stopnia złożoności prowadzonej przez kontrolowaną firmę działalności. W małych przedsiębiorstwach, które działają na lokalnym rynku może to być zaledwie kilka dni. W przypadku przedsiębiorstw operujących na skalę międzynarodową lub takich, które transferują dane do państw trzecich, stosując rozbudowane umowy powierzenia czas badania to nawet kilka tygodni.

Decyzję o przeprowadzeniu audytu należy dobrze przemyśleć, dlatego zaleca się, aby decyzję w tym zakresie podejmować z wyprzedzeniem. Kluczowe znaczenie ma nie tylko jego cena, ale także znalezienie doświadczonego zespołu audytorskiego, który rozumie specyfikę danej działalności i potrafi skorelować ją z obowiązującymi przepisami.

Kiedy więc przeprowadzić audyt zgodności z RODO?

Przeprowadzenie audytu RODO nie powinno być traktowane jako uciążliwy i kosztowny obowiązek, ale jako przeprowadzanie działań zapobiegawczych i ochronnych. Nie jest to też inicjatywa realizowana jednokrotnie, ale taka, którą należy regularnie powtarzać, aby dysponować wiarygodnymi i aktualnymi informacjami zwrotnymi. Kiedy organizacja powinna rozważyć badanie?

Rozpoczęcie działalności gospodarczej

Przede wszystkim przeprowadzenie audytu zgodności z RODO zaleca się firmom, które dopiero rozpoczynają działalność gospodarczą i nie są pewne, w jakim zakresie powinny wyposażyć się w mechanizmy zarządzania danymi osobowymi. W tym przypadku badanie pozwala ustalić jaki rodzaj danych podlega przetwarzaniu oraz przechowywaniu i jak zrobić to w sposób bezpieczny. Wielu przedsiębiorców nadal nie zdaje sobie sprawy, że RODO nie daje gotowych odpowiedzi w zakresie ochrony danych, a wskazuje jedynie, jakie cele powinny zostać osiągnięte.

Zmiany w zakresie lub sposobie przetwarzania danych osobowych

Druga grupą podmiotów, które powinny rozważyć przeprowadzenie audytu RODO są przedsiębiorcy wdrażający nowe rozwiązania technologiczne (np. nowy system CRM lub WMS) lub poszerzające profil prowadzonej działalności o działania związane w dużej mierze z przetwarzaniem danych (np. usługi marketingowe, doradztwa finansowego). Nie ulega wątpliwości, że na tym etapie przedsiębiorcy dysponują już mechanizmami pozwalającymi na stosowanie przepisów RODO, ale należy ustalić czy nadal są one aktualne pomimo wdrożonych zmian.

Przekazywanie danych osobowych do państw trzecich

Audyt w zakresie RODO jest niezwykle istotny także dla firm, które przekazują dane osobowe do państw trzecich nieznajdujących się na liście objętej obowiązkiem stosowania przepisów wspólnotowych. Należy zaznaczyć, że w tym aspekcie można wyróżnić dwie grupy państw:

  • kraje, co do których Komisja Europejska na mocy decyzji uznała, że gwarantują odpowiedni stopień ochrony danych osobowych (np. Andora, Argentyna, Japonia);
  • kraje, co do których brak jest decyzji Komisji Europejskiej, zatem konieczne jest zastosowanie odpowiednich zabezpieczeń.

W każdym z tych dwóch przypadków audyt powinien wyglądać nieco inaczej oraz uwzględniać odmienne aspekty stosowania RODO.

Ryzyko sankcji finansowej

Celem audytu RODO jest nie tylko dopasowanie bieżących mechanizmów do obowiązujących wymagań, ale także (a być może przede wszystkim) uniknięcie dotkliwych sankcji finansowych. Warto zwrócić uwagę, że przepisy przewidują zarówno odpowiedzialność administracyjną w wysokości do 20 milionów euro albo 4% światowego rocznego obrotu (decyduje wartość wyższa), jak i odpowiedzialność cywilną administratora danych oraz podmiotu, który przetwarza dane w jego imieniu. Poprzez regularne przeprowadzanie audytu można zminimalizować ryzyko naruszenia przepisów w zakresie ochrony danych osobowych, a tym samym nałożenia sankcji przez właściwy organ.

Aspekt biznesowy

Audyt RODO umacnia także pozycję firmy w relacjach z kontrahentami, którzy zyskują świadomość, że współpracują z partnerem respektującym wspólnotowe zasady dotyczące przetwarzania danych osobowych. W praktyce oznacza to zwiększone bezpieczeństwo informacji o kluczowym znaczeniu dla biznesu, jak np. bazy danych klientów.

Skoro sfera ochrony danych osobowych i prywatności jest w dzisiejszej gospodarce ważna to należy odpowiednio ten temat zaadresować wewnątrz swojej firmy. Jest to nie tylko wymóg prawny wynikający z unijnych przepisów w postaci RODO ale także z rosnącej świadomości społeczeństwa w zakresie ochrony prywatności.

Przedsiębiorstwa, które dbają o tę sferę zyskują nie tylko “pewność” w zakresie ryzyk prawnych ale także zyskują zaufanie klientów. Jednak aby zacząć o tę sferę dbać najpierw trzeba ustalić punkt startowy, w jakim znajduje się firma. Służy do tego audyt przed wdrożeniem procedur i dokumentacji RODO lub po jego wdrożeniu gdy chcemy zaktualizować dokumentację.

Etapy audytu RODO

Audyt RODO powinien skupiać się na kwestiach prawnych i organizacyjnych oraz na obszarze związanym z IT. W tym artykule skupiamy się na audycie organizacyjno-prawnym.  Audyt powinien składać się z trzech etapów.

Audyt RODO – ETAP 1

Pierwszym z nich są wywiady z osobami odpowiedzialnymi za poszczególne działy w firmie. Najczęściej audytorzy lub prawnicy przeprowadzający badanie rozmawiają z osobami z zarządu, działu sprzedaży, marketingu, kadrowego (HR), prawnego i IT. Celem tych rozmów jest przede wszystkim zrozumienie kontekstu biznesowego przetwarzania danych osobowych, procesów przetwarzania danych osobowych, posiadanej dokumentacji i wyłapaniu różnych ryzyk prawnych związanych z ochroną danych.

Audyt RODO – ETAP 2

Drugim etapem jest badanie posiadanej dokumentacji wewnętrznej i umów. W grę wchodzi tu m.in. polityka bezpieczeństwa, analizy ryzyka, umowy powierzenia przetwarzania danych osobowych, umowy dalszego powierzenia przetwarzania danych osobowych, umowy z pracownikami, rejestry czynności przetwarzania, rejestry powierzeń, rejestry kategorii, polityki prywatności i treści obowiązków informacyjnych.

Audyt RODO – ETAP 3

Trzecim etapem jest przygotowanie pisemnego raportu z działań przeprowadzonych w dwóch poprzednich etapach.

Jak zidentyfikować i opisać procesy przetwarzania danych w organizacji?

Mapowanie procesów przetwarzania danych osobowych to identyfikacja czynności, jakie są realizowane w firmie i mają związek z przetwarzaniem danych osobowych. Taka „mapa” posłuży następnie do stworzenia rejestru czynności przetwarzania, a to z kolei narzędzie niezbędne do wykazania, że administrator ochrony danych osobowych dochował zasady rozliczalności. Choć przepisy RODO nakładają obowiązek prowadzenia rejestru czynności przetwarzania na firmy zatrudniające 250 osób lub więcej, w praktyce zwykle rekomenduje się stworzenie rejestru nawet dla niewielkich, jednoosobowych działalności. Dzięki temu znacznie łatwiej zapanować nad obiegiem danych w organizacji.

Niekiedy w doktrynie używa się określenia inwentaryzacja procesów przetwarzania danych, czyli uzyskanie o nich wyczerpujących informacji w zakresie tego:

  • jakie rodzaje danych osobowych są przetwarzane i jakich kategorii podmiotów dotyczą (np. pracownicy, dostawcy);
  • jaki jest cel oraz podstawa prawna przetwarzania danych osobowych;
  • czy dane osobowe przetwarzane w firmie są przekazywane podmiotom spoza organizacji;
  • w jaki sposób oraz jak długo przechowywane są dane osobowe;
  • jakie zabezpieczenia stosuje firma w celu ochrony dostępu do danych osobowych (chodzi zarówno o bariery fizyczne, informatyczne, jak i organizacyjne);
  • jakimi aktywami, które potencjalnie mogą zostać wykorzystane do przetwarzania danych dysponuje firma (np. systemy informatyczne).

Aby prawidłowo zidentyfikować wszystkie procesy przetwarzania danych osobowych należy dobrze zrozumieć w jaki sposób są zarządzane informacje, które trafiają do przedsiębiorstwa, ponieważ najbardziej niepozorna czynność ma ogromne znaczenie. Procesem przetwarzania danych będzie zarówno dochodzenie należności, wysłanie listu intencyjnego, jak i zwykłe rozpatrywanie reklamacji złożonej przez klienta.

Zidentyfikowanie procesów to jeszcze nie wszystko. Przedsiębiorca powinien zadbać o powiązanie ich ze sobą w zbiory. Dzięki temu możliwe jest uporządkowanie, przygotowanie oraz usystematyzowania dalszych czynności wchodzących w skład audytu. Można wręcz powiedzieć, że bez mapowania procesów oraz stworzenia zbiorów danych sam audyt nie ma większego sensu, ponieważ podejmowane działania będą miały charakter losowy, niepowiązany z aktualną sytuacją przedsiębiorstwa.

Po wyodrębnieniu poszczególnych zbiorów danych należy przypisać do nich poszczególne procesy realizowane w firmie. W praktyce zwykle wyodrębnia się od kilku do kilkunastu grup, aby można było nimi sprawnie zarządzać. Przykładami zbiorów są np.:

  • klienci – typowe procesy obejmują nawiązanie współpracy, rozpatrzenie reklamacji, informowanie o nowych produktach;
  • pracownicy – procesami będzie np. realizacja praw i obowiązków pracowniczych, korzystanie z benefitów pozapłacowych lub wykorzystanie wizerunku;
  • kontrahenci – w tym przypadku przetwarzanie danych może polegać na nawiązaniu współpracy, obsłudze umów czy księgowanie operacji finansowych.

Warto zwrócić uwagę, aby mapowanie procesów nie było zbyt szczegółowe, ponieważ w praktyce zarządzanie nimi stanie się niemożliwe lub doprowadzi do paraliżu decyzyjnego. Z kolei nadmiernie ogólne przesłanki doprowadzą do wymknięcia się procesów spod kontroli.

Raport z audytu RODO

Każdy audyt w zakresie RODO powinien kończyć się sporządzeniem szczegółowego raportu oraz zaleceń poaudytowych Tylko w taki sposób przedsiębiorca otrzymuje wartościową informację zwrotną w zakresie tego, co w organizacji jest wykonywane nieprawidłowo i w jaki sposób dany proces należy skorygować. Zastosowanie się do zaleceń zmniejsza ryzyko sankcji w razie kontroli realizowanej przez organ nadzorczy, dlatego nie raportu nigdy nie należy traktować wyłącznie jako podsumowania. To wartościowe narzędzie, pozwalające na usprawnienie funkcjonowania organizacji pod warunkiem, że firma wdroży wskazówki audytorów.

Raport audytu zgodności z RODO powinien odpowiedzieć na pytania o aktualny stan ochrony danych w firmie, a także zasugerować bezpieczne i wyczerpujące rozwiązania dotyczące wzmocnienia „słabych ogniw” systemu. Objętość rzetelnie przeprowadzonego audytu to zwykle kilkadziesiąt stron.

Ważne jest, aby raport odpowiadał na pytania dotyczące zgodności z RODO następujących obszarów:

  • analiza wypełnianych obowiązków przez administratora danych osobowych;
  • analiza procesów zachodzących w organizacji;
  • analiza zabezpieczeń.

Dokument powinien jasno określać zakres i cel audytu, przyjęte kryteria oraz zastosowaną metodykę. W taki sposób firma zlecająca badanie może w łatwy sposób odnieść wyniki do swojej sytuacji. Kluczowym celem raportu jest identyfikacja wszystkich procesów związanych z przestrzeganiem ochrony danych oraz podsumowanie zebranych informacji w czytelny i przejrzysty sposób. Z punktu widzenia zamawiającego najistotniejsze znaczenie mają rekomendacje, czyli wskazówki dotyczące konkretnego, zidentyfikowanego problemu.

Przykładem rekomendacji może być np. zalecenie opublikowania na stronie internetowej organizacji informacji o wyznaczeniu Inspektora Ochrony Danych wraz z jego danymi kontaktowymi, jeżeli obowiązek ten został pominięty.

Rekomendacje poaudytowe powinny być przygotowane dla każdej grupy procesów osobno z uwzględnieniem ich specyfiki i uwzględniać nie tylko poszczególne rodzaje przetwarzania danych, ale też branżowe kodeksy postępowania, jeżeli dla danej branży takie regulacje obowiązują.

Ocena zabezpieczeń obejmuje techniczne, mechaniczne i organizacyjne środki zabezpieczające dostęp do danych osobowych oraz ewentualne zalecenia w zakresie ich zmiany.

Raporty RODO dla ułatwienia przyswojenia zaleceń wprowadzają zwykle gradację oceny poszczególnych płaszczyzn badania. Przykładem takiej gradacji może być przyznanie każdemu z badanych elementów jednego ze statusów, np.:

  • zgodność – zespół audytorów nie stwierdził w danych obszarze niezgodności, a proces funkcjonuje w zgodzie z obowiązującymi przepisami; niekiedy wyodrębnia się też możliwość doskonalenia, czyli szansę na dalsze jego usprawnienie;
  • potencjalna niezgodność – proces jest wprawdzie zgodny z wymogami, ale sposób jego realizacji może łatwo doprowadzić do incydentu;
  • niezgodność – badany proces jest niezgodny z wymogami określonymi w przepisach i wymaga niezwłocznej korekty;
  • nie dotyczy lub nie badano – dany element jest wyłączony z badania, ponieważ nie występuje w danej organizacji (np. kwalifikowane profilowanie danych osobowych).

Raport poaudytowy jest najczęściej obszernym dokumentem składającym się z wielu elementów. Poniżej przedstawiam Ci przykładową strukturę raportu z audytu RODO. Każdy z poniższych obszarów badany jest pod kątem tego czy jest on realizowany (przykładowo czy istnieje i jest wdrożony jakaś procedura w postaci dokumentu) i czy jest zgodny z RODO. Dodatkowo dodaje się sekcję z rekomendacjami czyli tzw. czynnościami naprawczymi.

Obszar związany z dokumentacją ochrony danych osobowych:

  1. Posiadane dokumenty wewnętrzne,
    1. polityka prywatności,
    2. polityka bezpieczeństwa danych osobowych,
    3. wzór rejestru czynności przetwarzania,
    4. wzór rejestru zgód na przetwarzanie danych lub innej formy dokumentacji uzyskanych zgód,
    5. wzór rejestru naruszeń,
    6. wzór upoważnienia do przetwarzania,
    7. przeprowadzenie oceny skutków dla ochrony danych,
    8. wzory zgód,
    9. wzór obowiązku informacyjnego,
    10. czy dokumentacja przewiduje:
      1. sposób realizacji praw osób, których dotyczą,
      2. procedurę uzyskiwania zgód na przetwarzanie,
      3. sposób postępowania pracowników z danymi osobowymi,
      4. nadawanie upoważnień do przetwarzania,
      5. prowadzenie rejestru upoważnień,
      6. sposób zawierania umów powierzenia,
      7. sposób prowadzenia rejestru czynności przetwarzania,
      8. przeprowadzenie oceny skutków dla ochrony danych,
      9. zasadę minimalizacji danych,
      10. anonimizacje danych,
      11. sposób działania w przypadku naruszenia ochrony danych osobowych.

Obszar praw osób których dane dotyczą:

  1. czy firma posiada wzór klauzuli informacyjnej,
  2. czy klauzula została przekazana osobie, której dane dotyczą,
  3. czy zostały zgłoszone żądania wycofania zgody na przetwarzanie danych osobowych,
  4. czy zgłoszenia zostały zamieszczone w rejestrze,
  5. czy firma posiada rejestr wniosków o realizację praw osób, których dane dotyczą,
  6. czy zostały zgłoszone żądania realizacji praw osób, których dane dotyczą,
  7. czy zgłoszenia zostały zamieszczone w rejestrze,
  8. ew. analiza udokumentowanych przypadków zgłoszeń.

Obszar przekazywania danych podmiotom trzecim:

  1. Czy dane są udostępniane innym administratorom,
  2. Czy dane są przekazywane podmiotom przetwarzającym (procesorom),
  3. Czy jest prowadzony rejestr umów powierzenia,
  4. czy rejestr jest prowadzony w sposób ciągły,
  5. czy firma posiada wzór umowy powierzenia
    1. czy umow apowierzenia spełnia wymagania RODO,
    2. czy wzór umowy powierzenia obejmuje:
      1. kwestię upoważniania pracowników procesora do przetwarzania danych osobowych,
      2. sposób weryfikacji przez podmiot powierzający zdolności procesora do zapewnienia gwarancji wdrożenia odpowiednich środków bezpieczeństwa,
      3. zobowiązanie procesora do stosowania środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych przez niego danych osobowych,
      4. zobowiązanie procesora do prowadzenia wykazu umów powierzenia (obejmującego umowy zawarte zarówno przez niego samego, jak i przez jego ewentualnych podprocesorów),
      5. zobowiązanie do prowadzenia rejestru wszystkich kategorii czynności przetwarzania?
      6. zobowiązanie procesora do poddania się kontrolom lub audytom w tym obszarze, a także kontrolom lub audytom prowadzonym przez administratora lub
      7. podmiot przez niego upoważniony,
      8. tryb informowania przez procesora o incydentach lub naruszeniach ochrony powierzonych mu do przetwarzania danych osobowych, a także obowiązek podejmowania działań w tym zakresie,
      9. zobowiązanie procesora do realizacji (w imieniu administratora) wpływających do niego wniosków osób, których dane dotyczą, w zakresie wykonywania przysługujących im praw,
  6. Czy została przeprowadzona weryfikacja podmiotów przed zawarciem umowy?
  7. Czy weryfikacja podmiotów została udokumentowana?
  8. Czy weryfikacja podmiotów jest planowana cyklicznie?
  9. Czy firma posiada wzór dokumentu spełniającego obowiązek informacyjny?
    1. Weryfikacja klauzul informacyjnych pod kątem spełnienia wymagań RODO
    2. Czy wzór klauzuli informacyjnej jest dostosowany oddzielnie do sytuacji, w których dane są pozyskiwane od osoby, której dotyczą i sytuacji uzyskania danych z innych źródeł?

Obszar związany z wdrożeniem dokumentacji wewnętrznej:

  1. Upoważnienia,
  2. rejestr czynności przetwarzania,
  3. bezpieczeństwo danych – czy przewidziano fizyczne, techniczne lub organizacyjnego środki ochrony danych,
  4. analiza ryzyka.

Obszar związany z osobami odpowiedzialnymi za przetwarzanie danych:

  1. Czy powołano Inspektora Ochrony Danych (IOD),
  2. Czy istnieją przesłanki do powołania IOD,
  3. Czy przeprowadzono analizę obowiązku powołania IOD,
  4. Obowiązki i kompetencje IOD,
  5. Kwalifikacje IOD,
  6. Niezależność pozycji IOD w organizacji.

Obszar związany ze środkami bezpieczeństwa:

  1. Wejście i wjazd na teren zakładu i pomieszczeń
    1. czy jest monitoring,
    2. czy jest kontrola wstępu,
    3. czy zrealizowano obowiązek informacyjny,
    4. czy dane zbierane są w sposób nadmiarowy.

Wdrożenie RODO w firmie – podsumowanie

Wdrożenie RODO w organizacji to wieloetapowa i skomplikowana inicjatywa. Im większa jest skala prowadzonej działalności, a realizowane w niej procesy są bardziej zróżnicowane, tym ważniejsze jest regularne badanie zgodności przez niezależnych specjalistów. Niestety praktyka pokazuje, że samodzielne próby zastosowania rozporządzenia zwykle nie przynoszą oczekiwanych rezultatów, tworząc u przedsiębiorcy złudne przekonanie bezpieczeństwa. Dzięki korzystaniu z pomocy doświadczonego zespołu audytorskiego organizacja otrzymuje realną pomoc, ponieważ jej funkcjonowanie oceniane jest z zewnątrz, co pozwala na dostrzeżenie uchybień niewidocznych dla pracowników czy kontrahentów.

Z reguły przedsiębiorcy zajmujący się na co dzień rozwojem swojego biznesu nie kontrolują na bieżąco zgodności prawidłowości implementacji przepisów rozporządzenia RODO, a także procesów przetwarzania danych, a raz wprowadzony schemat postępowania bywa utrzymywany latami. Aby zminimalizować ryzyko wystąpienia incydentu oraz potencjalnych sankcji prawnych warto, nieustannie udoskonalać raz przyjęte algorytmy, aby dopasować organizację do zmieniających się realiów gospodarczych, technologicznych oraz otoczenia biznesowego podmiotu. Audyt powinien być przeprowadzany cyklicznie. W zależności od wagi danego procesu można zlecić go raz na kilka lat lub nawet raz do roku.

Na prawidłowo wdrożoną procedurę RODO składa się:

  • identyfikacja procesów przetwarzania danych oraz połączenia ich w zbiory;
  • ocena rejestru czynności przetwarzania, jeżeli został on wprowadzony;
  • przygotowanie audytu wraz z zaleceniami pokontrolnymi.

Tylko łączne przeprowadzenie tych etapów pozwala na rzetelną ocenę stanu wdrożenia RODO w organizacji. Należy uwzględnić, że stosowanie się do wytycznych audytu efektywnie zmniejsza ryzyko wystąpienia incydentu, ale nie eliminuje go w całości. Na przedsiębiorcy lub wyznaczonej osobie, odpowiedzialnej za nadal spoczywa obowiązek kontrolowania sytuacji w firmie na bieżąco.

Procedura wdrożeniowa w zakresie RODO wymaga starannego przygotowania narzędzi poprzez identyfikację procesów przetwarzania danych i ich oceny poprzez pryzmat wytycznych. Warto pamiętać, że przepisy unijne opierają się na zasadzie proporcjonalności. Choć to pojęcie jest kojarzone głównie z zasadami przetwarzania danych, należy odnieść je też do wdrożenia mechanizmów zabezpieczających. W praktyce oznacza ono, że stosowane rozwiązania powinny być adekwatne do skali i rodzaju prowadzonej działalności. Dzięki korzystaniu z zewnętrznego zespołu firma może liczyć właśnie na tę proporcjonalność i zastosowanie wyłącznie sprawdzonych, efektywnych metod. Pozwala to na optymalizację kosztów prowadzonej działalności i ograniczenie zbędnych wydatków.

Prawidłowe wdrożenie RODO w firmie wymaga nie tylko dobrej znajomości specyfiki prowadzonej działalności, ale przede wszystkim przepisów wraz z wytycznymi, zarówno krajowymi, jak i międzynarodowymi. Dlatego to zadanie warto zlecić specjalistom z wieloletnim doświadczeniem w zakresie opracowywania procedur przetwarzania danych osobowych. Doświadczeni prawnicy dokonają kompleksowej oceny stanu wdrożenia mechanizmów ochrony danych, ocenią ich adekwatność oraz przygotują zalecenia pozwalające na poprawę bezpieczeństwa i zwiększenie produktywności organizacji.