• Wybierz grupy
Wyrażam zgodę na otrzymywanie drogą elektroniczną Przewodnika EduBroker przygotowanego przez firmę EduBroker Sp. z o.o. zgodnie z wybranymi przeze mnie tematami (zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002r, nr 144 poz. 1204 ustawy z dnia 18 lipca 2002 r.).
*pola obowiązkowe

Audyt powdrożeniowy RODO – dlaczego warto?

12 lutego 2019

Co to jest audyt powdrożeniowy?

Należy pamiętać, że wdrożenie nowego systemu czy procesu nigdy nie kończy prac nad nim. Zawsze należy przeprowadzić audyt powdrożeniowy, dzięki któremu zlokalizujemy luki i sprzeczności mogące mieć krytyczny wpływ na nasze procesy biznesowe. Audyt pozwala odpowiedzieć na pytania, czy zostały osiągnięte cele zakładane wstępnie oraz czy w nowych warunkach istotne dla działalności organizacji procesy, mogą być jeszcze bardziej efektywne. Wreszcie audyt taki pozwala stwierdzić, czy wdrożenie w całości zakończyło się sukcesem, zdefiniować protokoły rozbieżności oraz dalsze wytyczne bądź procedury naprawcze.

Ochrona danych osobowych w organizacji jest procesem ciągłym opartym na cyklu Deminga mającym na celu stałe doskonalenie i ulepszanie. Graficznie cykl przedstawia się jako koło składające się z czterech fragmentów zaplanuj, wykonaj,sprawdź i popraw.

Źródło: https://ikmj.com/pdca-cykl-deminga/

RODO nie jest zbiorem gotowych rozwiązań ani podpowiedzi. Nie istnieje jeden uniwersalny algorytm postępowania prowadzący do spełnienia wymagań rozporządzenia, który pozwoli na prawidłowe wdrożenie przepisów o ochronie danych osobowych. RODO tworzy pewne ramy, a naszym zadaniem jest ich wypełnienie. Każda firma musi stworzyć swój indywidualny system ochrony danych co pozwoli Administratorowi (ADO) na dostosowanie go do swoich potrzeb.

Rodzaje audytu powdrożeniowego.

  1. Audyt mający na celu sprawdzenie prawidłowości przestrzegania przepisów unijnych RODO oraz krajowych UODO może być przeprowadzony u ADO przez podmiot zewnętrzny lub własnymi silami (IOD).
  2. Audyt u Procesora jest realizowany na zlecenie ADO, który chce sprawdzić czy podmiot, któremu zamierza lub już powierzył przetwarzanie jest wiarygodny tzn. czy przetwarza i chroni prawidłowo dane osobowe (art. 28 RODO).

Jeżeli ADO zleca u siebie audyt to jego celem jest poznanie słabych punktów czy też błędów w zakresie ochrony danych osobowych, a to skutkuje w praktyce pełną współpracą z audytorem.

W przypadku Procesora audyt nie leży w jego interesie, ponieważ jest zlecony przez ADO badającego rzetelność przetwarzania danych, które powierza i wtedy przebieg współpracy może nie być bezkonfliktowy.

Niezależnie od rodzaju audytu są pewne stałe punkty interesujące audytora: 

  • zagadnienie organizacyjno –prawne (dokumentacja, upoważnienia, umowy powierzenia),
  • zabezpieczenia i funkcjonalność systemów IT oraz bezpieczeństwo fizyczne,
  • podstawy prawne czyli realizacja w praktyce zasad i przesłanek umożliwiających przetwarzanie danych osobowych zgodnie z RODO,
  • realizacja praw właścicieli danych,
  • sposoby reakcji na zaistniałe w przeszłości naruszenia (incydenty),
  • sposób przekazywania danych osobowych poza EOG.

Dlatego tak istotne jest, aby audytor potrafił pytaniami zidentyfikować potrzeby ADO oraz ocenił i dokonał analizy czy przyjęte rozwiązania są dla Administratora właściwe. Audytor musi posiadać wiedzę o tym jak szukać i czego szukać.

Zatrudnienie audytora zewnętrznego tzn. firmy specjalizującej się w tematyce ochrony danych, oznacza że nie wykorzystujemy do niego własnych pracowników np. IOD.

Pomimo, że specyfika i cel audytów (pkt. 1, 2) jest inny to na razie z uwagi na płytkość rynku wykonują go te same podmioty audytorskie. 

Czym się kierować przy wyborze audytora

Audyt dotyczący ochrony danych osobowych powinien być przeprowadzony rzetelnie bo inaczej po prostu nie ma sensu. Dlatego już na etapie wyboru audytora należy bardzo dokładnie przyjrzeć się kandydatowi /podmiotowi.

Działalność audytora ODO, w odróżnieniu od biegłych rewidentów badających sprawozdania finansowe, nie jest jeszcze prawnie regulowana, dlatego przed powierzeniem mu zadania trzeba sprawdzić jego doświadczenie, znajomość specyfiki branży, przyjrzeć się jego referencjom, zrealizowanym projektom, porozmawiać na tematy merytoryczne lub nawet zlecić wycinkowe zadanie z obszaru ochrony danych i w ten sposób sprawdzić jego wiedzę i fachowość.

Bardzo dokładnie należy ustalić zakres przedmiotu umowy tzn. czy poza stwierdzeniem konkretnych niedociągnięć audytor przedstawi nam wnioski poaudytowe, szczegółowe rekomendacje dalszych działań i czy zaoferuje swoją pomoc (na jakich warunkach) w ich wdrażaniu. Istotne jest zawarcie klauzuli o poufności lub odrębnej umowy o zachowaniu poufności NDA (non –disclosure agrement) oraz umowy powierzenia przetwarzania danych . Nie mniej ważne jest zagwarantowania sobie odpowiedniego składu zespołu audytorskiego oraz praw autorskich do raportu audytowego. 

Dlaczego zasadne jest przeprowadzenie audytu powdrożeniowego w zakresie RODO

Od dnia 25 maja 2018 r. we wszystkich krajach Unii obowiązuje rozporządzenie RODO i od tej daty wszystkie podmioty mają obowiązek w swojej działalności stosować jego przepisy, których brak wdrożenia może skutkować znaczącymi konsekwencjami: zastosowanie środków naprawczych, kary finansowe, odpowiedzialność karna, cywilna, dyscyplinarna oraz utrata reputacji przez firmę. Ustawodawca unijny zapewnił czas na przygotowanie się do obowiązujących zmian dając 2-letnie vacatio legis.

Część podmiotów wdrażających nowe standardy jeszcze przed obowiązującą datą skorzystała z pomocy wyspecjalizowanych ekspertów zewnętrznych (kancelarie, firmy doradcze). Znacząca jednak większość przedsiębiorców zrobiła to we własnym zakresie i w ograniczony sposób, posługując się dostępnymi materiałami, poradnikami, wzorami itd., które z uwagi na brak w tym czasie ostatecznych rozwiązań prawnych czy interpretacji, nie zawsze były prawidłowe.

Wielu przedsiębiorców wprowadzając w swoich firmach nowe przepisy o ochronie danych osobowych nie miało możliwości uwzględnić zapisów krajowej ustawy o ochronie danych osobowych opublikowanej 24 maja 2018 r. a regulującej np. zapisy Kodeksu Pracy czy zasady monitorowania wizyjnego i elektronicznego. Aktualnie jest procedowany w Sejmie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania przepisów RODO. Ten akt wprowadzi zmiany w kolejnych 168 ustawach branżowych co będzie miało na pewno znaczący wpływ na prawidłowość dokonanych dotychczas wdrożeń. Ponadto UODO bardzo późno, bo praktycznie na przełomie maja/czerwca 2018 r., rozpoczął publikację rekomendacji, wytycznych, porad oraz organizacji szkoleń dla Inspektorów Ochrony Danych (IOD), a do tego istniejący konflikt kompetencyjnointerpretacyjny pomiędzy Urzędem Nadzoru a Ministerstwem Cyfryzacji również nie ułatwia pozyskiwanie rzetelnych informacji przez podmioty rynkowe, które mogą się czuć trochę zdezorientowane.

Pragnę podkreślić, że zgodność przetwarzania danych osobowych w firmie z obowiązującymi przepisami prawa to nie jest jednorazowe wdrożenie procedur i dokumentacji, lecz bieżące monitorowanie przyjętych rozwiązań pod kątem ich prawidłowości, adekwatności, aktualności i celowości. Podejście do ochrony danych wynikające z RODO zobowiązuje do aktywnej postawy, której wynikiem ma być szybka reakcja na zmieniające się warunki przetwarzania danych, tj. zakres, cel, czy też krąg odbiorców danych, skutkująca stosowaniem środków bezpieczeństwa i procedur odpowiednich do pojawiających się zagrożeń.

Tak znaczące opóźnienia prac i regulacji legislacyjnych powoduje konieczność dokonania sprawdzeń prawidłowości naszych wdrożonych wcześniej procedur, procesów, dokumentacji.

Podsumowując

Biorąc pod uwagę, że mamy już prawie 9 miesięcy doświadczenia stosowania RODO na pewno warto zastanowić się nad weryfikacją i ewentualną aktualizacją dokonanego wdrożenia. Zwłaszcza, że wdrożenie nowych przepisów nie jest procesem jednorazowym i zakończonym ale dynamicznym, który stale trwa i ciągle się zmienia. Dlatego warto przeprowadzić audyt powdrożeniowy, który da odpowiedź czy zostały prawidłowo uchwycone zmiany w zmieniających się procesach lub czy zidentyfikowano nowe. 

Pamiętajmy, że cena niedostosowania się do przepisów RODO jest ewidentnie dużo wyższa niż jakiekolwiek nakłady poniesione na przestrzegania prawa. 

Z opublikowanego niedawno Raportu amerykańskiej firmy IT Cisco Systems wynika, że firmy które prawidłowo dostosowały swoją działalność do przepisów RODO w porównaniu z firmami nieprzygotowanymi

  • były o 15% mniej narażone na incydenty,
  • miały mniejszą o 133 000 rekordów liczbę wycieku danych,
  • poświęcały o 3 godziny mniej czasu na przywrócenie sprawności systemu IT

Badanie przeprowadzono na podstawie ankiet ponad 3200 ekspertów ds. bezpieczeństwa z 18 krajów świata.

* RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iswobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronię danych)

Teresa Grabowska – Prezes Zarządu ECDP ODO sp. z.o..o

Polecane artykuły:

  • Gry szkoleniowe- udawane nauczanie czy rzeczywiste podnoszenie kompetencji pracowniczych

    Zabawa jest nauką, nauka zabawą. Im więcej zabawy, tym więcej nauki.
    Czyżby?...
    Słowa Glenna Domana z pewnością odnieść można do sposobu, w jaki najszybciej rozwijają się dzieci. Pytanie: czy podwyższanie kompetencji prowadzone w formie zabawy jest słusznym rozwiązaniem w przypadku dorosłych? Na pewno innowacyjnym i coraz częściej stosowanym w firmach, zwłaszcza tych dynamicznie rozwijających się. Dostarczenie pracownikom jednocześnie nauki i zabawy w postaci gry szkoleniowej może przynieść wiele korzyści i znacząco przewyższyć standardową formę szkolenia. W jaki sposób?
     

    SZCZEGÓŁY
  • Treningi modułowe- nowoczesna metodologia szkoleniowa gwarantująca trwałe wdrożenie nabywanych umiejętności

    Czy zwykłe 2-dniowe szkolenia mają sens? Dlaczego po profesjonalnie przeprowadzonym szkoleniu efekty nie zawsze są trwałe, a zmiany bywają tylko chwilowe? Główną przyczyną takiego stanu rzeczy jest postrzeganie szkoleń jako jednorazowe wydarzenie, niczym plaster, który nalepia się na otwartą ranę, który nie leczy, a tylko zasłania i chroni przed dalszymi urazami.

    Powszechnie wiadomo jak badać potrzeby oraz jak sprawdzać atrakcyjność szkolenia po jego zakończeniu wśród uczestników. Co jednak z przygotowywaniem uczestników do procesu zmiany oraz wsparciem ich we wdrożeniu nabywanych kompetencji?
    Lekarstwem na tę dolegliwość jest wprowadzenie regularnego kształcenia rozłożonego w czasie.

    SZCZEGÓŁY