W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) na przedsiębiorców nałożonych zostało wiele nowych obowiązków.
Złożony charakter przepisów RODO powoduje, że niejednokrotnie przedsiębiorcy zastanawiają się, czy obowiązujące w ich firmach procedury spełniają reguły i wymogi RODO. Jednocześnie groźba wysokich kar za złamanie RODO wzbudza w przedsiębiorcach uzasadnioną obawę, przed ewentualnymi nieprawidłowościami powstałymi podczas wdrożenia RODO.
Audyt RODO polega w uproszczeniu na szczegółowej weryfikacji, czy dany podmiot funkcjonuje w zgodzie z RODO. Każdy audyt RODO powinien przy tym rozpocząć się od stworzenia planu. W wypadku wykrycia ewentualnych nieprawidłowości, podmiot przeprowadzający audyt RODO wskaże konkretne obszary, w których należy wprowadzić zmiany. Każdorazowo podmiot korzystający z usługi audytu otrzyma również szczegółowy raport z audytu RODO.
Jak często należy przeprowadzać audyt RODO?
Żadna regulacja prawna nie normuje tego jak często należy przeprowadzać audyt RODO, decydujące w tym względzie są więc kwestie praktyczne. W tym miejscu warto zaznaczyć, że wyróżniamy dwa podstawowe rodzaje audytów RODO – audyt wstępny oraz audyty cykliczne.
Audyt wstępny, jak sama nazwa wskazuje, jest to proces przeprowadzany na początku procesu wdrażania firmy działania zgodne z RODO. Co do zasady więc wstępny audyt RODO ma charakter jednorazowy.
Audyty cykliczne mają na celu kontrolę prawidłowości działań prowadzonych przez firmę w związku z RODO i najlepiej wykonywać je raz na dwa – trzy lata w zakresie kompleksowym, nieco częściej można realizować audyty RODO dotyczące konkretnych, wyrywkowych kwestii funkcjonowania RODO w firmie.
Wstępny audyt RODO– co powinno się na niego składać?
Najważniejszym i najbardziej złożonym zakresowo audytem RODO jest wstępny audyt RODO. Nie istnieje jeden ogólny wzór audytu RODO. W toku wstępnego audytu RODO należy przede wszystkim:
- dokonać weryfikacji rodzaju danych osobowych, które są przetwarzane w bieżącej działalności firmy;
- ustalić, czy przedsiębiorca posiada stosowne, wymagane przepisami RODO, podstawy legalizujące przetwarzanie danych osobowych;
- zweryfikować zakres i cel przetwarzanych danych osobowych pod względem ich zgodności z RODO;
- dokonać szczegółowej kontroli znajdującej się w przedsiębiorstwie dokumentacji pod kątem jej aktualności i zgodności z RODO;
- przeanalizować poziom zabezpieczenia dokumentacji gromadzonej w firmie przed wyciekiem danych osobowych;
- przeanalizować umowy zawarte przez firmę pod kątem obecności wymaganych klauzul RODO, sporządzenia umów powierzenia itp.;
- przedstawić kompleksowe wnioski i zalecenia pokontrolne;
Cykliczne audyty RODO – co powinny zawierać?
Sprawa z audytami RODO, o charakterze cyklicznym jest nieco mniej złożona. W ramach cyklicznego audytu RODO bada się przede wszystkim konkretny obszar funkcjonowania firmy pod kątem zgodności z przepisami RODO. W razie jakichkolwiek uchybień lub zagrożeń naruszenia RODO, audytorzy zwracają uwagę na powstałe ryzyka i proponują kompleksowe rozwiązanie problemu. Również w tym przypadku sporządzany jest szczegółowy raport z audytu RODO.
Czy audyt RODO jest obowiązkowy?
Wiele spośród osób, które zobowiązane są do przestrzegania przepisów RODO zastanawiać się może czy audyt RODO jest obowiązkowy? Żaden z przepisów rozporządzenia RODO nie nakłada wprost obowiązku przeprowadzania audytu RODO. W tym miejscu warto jednak zwrócić uwagę na dwa przepisy:
- art. 24 ust. 1 RODO, zgodnie z którym Administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane;
- art. 32 ust. 1 lit. d) RODO, zgodnie z którym administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Przepisy te na pierwszy rzut oka mogą kreować obowiązek sporządzenia audytu RODO. W rzeczywistości jednak przepisy RODO nie określają w jaki sposób mają być dokonywane przeglądy, uaktualnienia, czy testowania, o których mowa w wyżej wspomnianych przepisach. Tym samym nie koniecznie muszą przybierać one formę audytu RODO, a tym samym uznać należy, że audyt RODO nie jest obowiązkowy.
Z uwagi na kompleksowy charakter audytu RODO oraz wygenerowanie na jego zakończenie specjalistycznego raportu RODO, wydaje się, że sporządzenie audytu RODO jest zawsze opłacalne dla przedsiębiorcy. W ten sposób może one powierzyć istotny obowiązek kontroli zgodności przetwarzania i ochrony danych osobowych podmiotom specjalizującym się w dziedzinie RODO.
Kto może przeprowadzić audyt RODO?
Odpowiadając na pytanie kto może przeprowadzić audyt RODO, wskazać należy, że najważniejszym jest aby był to podmiot w pełni profesjonalny, posiadający stosowną wiedzę i zaplecze do przeprowadzenia audytu RODO. Najczęściej audyt RODO powierzany jest Inspektorom Ochrony Danych Osobowych lub podmiotom zewnętrznym specjalizującym się w kwestiach związanych z RODO.
Kompleksowe audyty RODO, tak wstępne, jak i cykliczne, może wykonać dla Państwa m.in. RK RODO. RK RODO posiada szerokie doświadczenie w zakresie sporządzania audytów RODO oraz raportów po audytach RODO, jak również zespół profesjonalistów, którzy wielokrotnie, czynnie uczestniczyli w sporządzaniu audytów RODO.