U wielu przedsiębiorców, i to bez względu na branżę, słowo „audyt” wywołuje ciarki na plecach. Przed oczami staje obraz smutnych panów, skanujących wzrokiem każdy dokument, zadających podchwytliwe pytania, byle tylko złapać nas na jakimś błędzie i „wdeptać w ziemię”. Takie audyty i tacy audytorzy oczywiście się zdarzają. Osobiście potępiam jednak tego typu podejście.
Od początku kariery zawodowej pracowałem z ISOwskimi systemami zarządzania. Tam stosunek do audytu jest zgoła odmienny. Audyt jest narzędziem do szukania zgodności i potencjału do doskonalenia. Tak też wolę na niego patrzeć.
Chcąc przeprowadzić audyt RODO, trzeba odpowiedzieć sobie na pytania:
1. Po co robimy audyt? – jaki cel chcemy osiągnąć, co mam nam ten audyt dać?
2. Kiedy robimy audyt? – czy jest to audyt przed wdrożeniem, czy bezpośrednio po, czy może długi czas po?
Audyt RODO jako element wdrożenia
Każdy kto odpowiedzialnie wdraża RODO, musi dobrze poznać firmę, w której wdrożenie prowadzi.
Firma działa w oparciu o procesy biznesowe, a w nich pojawiają się dane osobowe, będące ich nieodłączną częścią.
Wdrożenie RODO to kilkuetapowy proces. Bezpośrednio po wstępnym przeszkoleniu Twojego zespołu, rozpoczynają się działania audytowe. Celem tych działań jest identyfikacja czynności przetwarzania, przeprowadzenie analizy ryzyka i oceny skutków dla ochrony danych, analiza dokumentów powiązanych z przetwarzaniem danych (zarówno tych, które dane zawierają, jak i tych, które regulują przetwarzanie danych).
Identyfikując czynności przetwarzania, znajdujemy odpowiedzi na pytania:
- Jakie dane są przetwarzane?
- Na jakiej podstawie (czy legalnie)?
- W jaki sposób przetwarzamy dane?
- Gdzie dane są przetwarzane?
- Z kim współpracujesz przy przetwarzaniu?
- Czy zapewniasz wszystkie prawa osobom, których dane przetwarzasz?
Schemat tych działań jest dość prosty:
- Zbieranie informacji;
- Analiza informacji;
- Wstępne propozycje rozwiązań / rekomendacje;
Efektem działań audytowych przeprowadzonych w trakcie procesu wdrożenia są:
- Rejestr czynności przetwarzania (jeden z głównych dokumentów wymaganych przez RODO);
- Udokumentowana analiza ryzyka i ocena skutków dla ochrony danych osobowych;
Audyt przed wdrożeniem
Ile będzie kosztować wdrożenie RODO? To często pierwsze pytanie, jakie słyszymy od naszych Klientów. Jak zapewne się domyślasz, nie ma na nie prostej odpowiedzi.
Każda branża, każda firma ma swoją specyfikę.
Firma X zatrudnia 10 osób, firma Y zatrudnia 1000. To ma znaczenie, ale…
Duża firma produkcyjna może mieć kilka prostych procesów biznesowych, podczas gdy mały broker ubezpieczeniowy, współpracujący z kilkunastoma firmami ubezpieczeniowymi, będzie miał o wiele bardziej skomplikowane zasady działania.
Tych czynników jest wiele.
Chcąc mieć pewność, jak czasochłonne będzie wdrożenie (w domyśle – ile będzie kosztowało), warto przeprowadzić wstępny audyt RODO, zanim przystąpi się do wdrożenia.
Poznanie firmy, jej procesów, zagrożeń, zabezpieczeń, kontrahentów pozwala racjonalnie ocenić pracochłonność.
Sposób przeprowadzenia audytu RODO przed wdrożeniem zależy od sytuacji audytowanego. Firmy zaczynają przygodę z RODO z różnego pułapu. Dla jednych jest to pierwsze poważne spotkanie z ochroną danych osobowych. Inne mają te kwestie dobrze opanowane, gdyż dostosowały się do poprzednich przepisów o ochronie danych.
Dla pierwszej grupy sposób przeprowadzenia audytu jest zbliżony do tego, który opisałem wcześniej.
Dla tej drugiej grupy można przeprowadzić zdecydowanie mniej uciążliwy audyt luk.
Audyt luk przed wdrożeniem
Aby zweryfikować, czy system ochrony danych osobowych działa zgodnie z RODO, prowadzimy tak zwany audyt luk (znany także pod angielskimi nazwami gap audit, gap analysis).
Celem audytu luk jest wskazanie „słabych”, wymagających poprawy elementów Twojego systemu ochrony danych. W trakcie takiego audytu sprawdzamy, jak ma się stan faktyczny w Twojej firmie do wymagań RODO. Pozwala to na ustalenie, które elementy danych wymagań są już spełnione, a które jeszcze wymagają poprawy. Efektem takiego audytu jest raport, który wskaże Ci luki i dostarczy rekomendacji, jak je usunąć.
Taki raport jest doskonałym materiałem do planowanie i realizacji wdrożenia RODO.
Czy warto robić audyt RODO przed wdrożeniem?
Przed chwilą pisałem o tym, że audyt jest integralnym elementem wdrożenia. Zatem: czy warto go robić przed wdrożeniem i drugi raz w jego trakcie?
Jak najbardziej. Przeprowadzenie audytu przed wdrożeniem sprawia, że w trakcie wdrożenia wiemy już bardzo dużo o Twojej firmie. Analityczna część wdrożenia jest dzięki temu krótsza. Opiera się o uzupełnienie i doprecyzowanie pewnych informacji. Mniej czasu poświęcimy na zbieranie i analizę informacji, a tym samym koszt samego wdrożenia zmniejszy się.
Audyt przeprowadzony przed wdrożeniem daje Ci ponadto możliwość wyboru. Nie musisz decydować się na dalszą współprace z nami (choć bardzo nam na niej zależy).
W oparciu o wyniki audytu możesz podjąć się samodzielnego wdrożenia. Możesz też do wdrożenia zaangażować inną firmę. Dokładny raport z audytu wraz z rekomendacjami i zaleceniami, pozwoli na skuteczne wdrożenie nie tylko nam, ale każdemu innemu specjaliście.
Audyt RODO działającego systemu ochrony danych osobowych
Wdrożenie RODO za Tobą. System ochrony danych osobowych już działa w Twojej firmie. Czy możesz spocząć na laurach? Niestety nie.
RODO nie jest zbiorem procedur kurzących się na półkach. Ba, nie jest nawet wewnętrznym systemem w firmie, który działa w oderwaniu od rzeczywistości. RODO wymaga od Ciebie, abyś był na bieżąco. W przetwarzaniu danych osobowych musisz uwzględniać kontekst, w jakim funkcjonuje Twoja firma. O co chodzi?
O to, że zmieniają się uwarunkowania prawne (zmiany w przepisach, ich interpretacje). Zmienia się technologia. Twoja firma też się zmienia – przecież się rozwijasz.
Za tymi zmianami musi nadążyć system ochrony danych osobowych. Coś co zostało zaprojektowane zgodnie z RODO, za pół roku może już nie być z nim zgodne.
Pamiętaj również o tym, że Twój zespół po jakimś czasie wpada w rutynę. To nie ich wina. To ludzka natura. Mogłoby się wydawać, że rutyna to przyjaciel ochrony danych. Każdy wie co robić i robi to automatycznie. Nic bardziej mylnego. Rutyna bowiem zwalnia z obowiązku myślenia, a chroniąc dane osobowe trzeba myśleć.
Czynników, dla których Twój system ochrony danych osobowych przestanie być zgodny z RODO, może być więcej.
Najlepszym narzędziem do wykrycia takich zmian jest właśnie audyt. Nie wymaga on gruntownej analizy Twoich procesów biznesowych i czynności przetwarzania. Można go przeprowadzić w formie audytu luk.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.