Audyt RODO wzór (część 1)

Spis treści

Czym jest RODO?

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych (ang. General Data Protection Regulation – GDPR), to zbiór przepisów dotyczący ochrony danych osobowych. Wszedł w życie 25 maja 2018 roku i obowiązuje na terenie całej Unii Europejskiej, a także dotyczy firm spoza UE, które przetwarzają dane obywateli Unii.

RODO określa zasady przetwarzania danych osobowych, a mianowicie informacji pozwalających zidentyfikować osobę fizyczną.

Na czym polega audyt RODO?

Audyt RODO to proces analizy i oceny organizacji w celu określenia stopnia zgodności z przepisami dotyczącymi ochrony danych osobowych, w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Celem audytu jest identyfikacja luk i niedociągnięć w systemach bezpieczeństwa danych, a także określenie wymagań i działań potrzebnych do zapewnienia zgodności z RODO i pozostałymi przepisami ochrony danych osobowych.

5 powodów dla których warto przeprowadzić audyt RODO:

  1. Zgodność z prawem: Audyt RODO pozwala upewnić się, że Twoja organizacja działa zgodnie z obowiązującymi przepisami o ochronie danych osobowych. To kluczowe, aby uniknąć potencjalnych sankcji finansowych i prawnych.

  2. Ochrona reputacji: Naruszenie przepisów RODO i wynikające z tego konsekwencje, takie jak wyciek danych, mogą negatywnie wpłynąć na reputację Twojej firmy. Audyt pomaga zidentyfikować i zaadresować potencjalne słabe punkty w systemie ochrony danych.

  3. Bezpieczeństwo danych: Audyt RODO umożliwia dokładne zbadanie, jak dane są gromadzone, przetwarzane i przechowywane, co może prowadzić do poprawy ogólnych praktyk związanych z bezpieczeństwem danych.

  4. Zaangażowanie pracowników: Proces audytu może również posłużyć jako okazja do szkolenia pracowników i podniesienia ich świadomości na temat znaczenia ochrony danych osobowych.

  5. Pewność dla klientów i partnerów biznesowych: Przeprowadzenie audytu RODO i następnie podjęcie odpowiednich działań, aby zapewnić zgodność z przepisami, może zwiększyć zaufanie klientów i partnerów do Twojej organizacji. Pokazuje to, że Twoja firma traktuje prywatność i ochronę danych poważnie.

Audyt RODO wzór

Przeprowadzając audyt RODO dzielimy go na trzy główne działy:

  1. Audyt organizacyjno-prawny
  2. Audyt techniczny – informatyczny
  3. Audyt obszaru przetwarzania danych osobowych

Audyt RODO - audy organizacyjno-prawny

Podczas audytu organizacyjno prawnego jako pierwsze weryfikujemy opis, charakter, zakres, kontekst i cel przetwarzania danych. Bierzemy pod uwagę przetwarzanie danych osobowych w formie papierowej oraz przy wykorzystaniu systemów informatycznych. Przetwarzanie danych o charakterze wykonywania takich operacji jak: zbieranie, utrwalanie, przechowywanie, organizowanie, pobieranie, ograniczenia, usuwanie, niszczenie, zmienianie, udostępnianie.

Przykładowe nazwy czynności i celów przetwarzania:

  • rekrutacja pracowników w celu pozyskania nowych pracowników,
  • prowadzenie akt osobowych pracowników oraz ewidencjonowanie ich uprawnień zgodnie z prawem pracy w celu prowadzenia rejestru pracowników, akt pracowniczych i ewidencji czasu ich pracy, szkoleń, urlopów,
  • niszczenie dokumentów (zawierających dane osobowe) w celu realizacja zasady ograniczenia przechowywania danych osobowych.
  • działania marketingowe w celu przedstawianie oferty usług firmy oraz realizacji prawnie uzasadnionego interesu, którym jest konwencjonalny marketing bezpośredni oraz inne formy marketingu lub reklamy,

Następnie określamy w audycie RODO kategorię osób, których dane są przetwarzane:

Przykładowe kategorie osób: kandydaci do pracy, pracownicy, klienci, kontrahenci, współpracownicy B2B oraz dostawcy.

Następnie dzielimy w audycie wskazane powyżej kategorie na zbiory i wpisujemy rodzaje zawartych w nich danych, np. zbiór zawierające dane klientów zawiera: Imię, Nazwisko, numer NIP i REGON, dane teleadresowe w tym: adres korespondencyjny, adres e-mail i numer telefonu.

W kolejnym punkcie audytu RODO określamy podstawy przetwarzania zawarte w art. 6 ust. 1 RODO oraz art. 9 ust. 2 RODO:

  • Art. 6 ust. 1 lit. a RODO – „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
  • Art. 6 ust. 1 lit. b RODO – „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.
  • Art. 9 ust. 1 lit. a RODO – „osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
  • Art. 9 ust. 1 lit b RODO– „przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą”.
Audyt RODO wzór

Na tym etapie określiliśmy już wstępnie zakres przetwarzania danych przez naszego klienta. W kolejnym kroku przechodzimy do audytu procesu przetwarzania danych.

Jeśli dane osobowe są przetwarzane na podstawie zgody należy określamy sposób jej pozyskania.

Jeśli dane osobowe przetwarza się dla prawnie uzasadnionego interesu określamy ten interes. Np.: Prowadzenie działalności, zatrudnianie pracowników, monitoring obiektu w celu zapewniania bezpieczeństwa klientów, konwencjonalny marketing bezpośredni oraz inne formy marketingu lub reklamy, przy wykorzystywaniu danych osobowych pochodzących ze źródeł powszechnie dostępnych oraz  na potrzebę dochodzenie lub obrony przed roszczeniami.

  1. Określamy sposób spełnienia obowiązku informacyjnego, na podst. Art. 13/14 RODO.
  2. Sprawdzamy źródła pochodzenia danych osobowych.
  3. Sprawdzamy, czy dane zostały powierzone, a jeśli tak to komu
  4. Sprawdzamy jakim podmiotom dane klientów oraz pracowników są udostępniane.
  5. Sprawdzamy jak zabezpieczone są dane przetwarzane w formie papierowej, jak wygląda dostęp do dokumentów i ich zabezpieczenie?
  6. Sprawdzamy jak wygląda usuwanie dokumentów papierowych.
  7. Sprawdzamy jak długo przetwarza się dane osobowe.
  8. Przeprowadzamy audyt procedury postępowania w sprawie naruszenia danych osobowych.

Kolejnym krokiem audytu RODO jest weryfikacja środków organizacyjnych:

Sprawdzamy:

  1. Czy i jaka dokumentacja ochrony danych osobowych została wdrożona;
  2. Czy przedstawione audytorowi dokumenty ochrony danych osobowych są zgodne z przepisami prawa powszechnego oraz czy nie są wewnętrznie sprzeczne ze sobą;
  3. Czy regulacje wprowadzone są faktycznie stosowane w praktyce, czy też pozostają jedynie martwymi zapisami;
  4. Czy wszyscy pracownicy są dopuszczeni do przetwarzania danych osobowych są upoważnieni do tego;
  5. Czy podmiot audytowany prowadzi ewidencję upoważnień i czy zapisy z tej ewidencji są aktualne;
  6. Czy upoważnienia są cofane na bieżąco (np. w razie ustania stosunku pracy);
  7. Czy pracownicy byli przeszkoleni z przepisów i regulacji wewnętrznych i czy podmiot jest w stanie wykazać ukończenie tych szkoleń przez pracowników;
  8. Czy przekazywanie danych osobowych innym podmiotom odbywa się z wykorzystaniem właściwej instytucji prawnej (udostępnienie albo powierzenie przetwarzania danych osobowych);
  9. Czy w przypadku udostępnienia podmiot audytowany analizował, czy podmiot, któremu zostały udostępnione dane, dysponował własnymi przesłankami przetwarzania danych osobowych; czy były zawierane i co ewentualnie zawierały umowy udostępnienia;
  10. Czy umowy powierzenia przetwarzania danych są zgodne w formie i treści z art. 28 RODO;
  11. Czy w przypadku przekazywania danych osobowych poza obszar EOG odbywa się to każdorazowo zgodnie z przepisami RODO.
  12. Przedostatnim krokiem części organizacyjno – prawnej audytu RODO jest weryfikacja stosowanych podstaw prawnych, sprawdzamy:
  13. Czy w każdym przypadku przetwarzania danych osobowych podmiot ma konkretną, ważną podstawę prawną;
  14. Czy zakres przetwarzanych danych jest adekwatny do posiadanej przesłanki ich przetwarzania;
  15. Czy dane są przetwarzane w celu wynikającym ze stosowanej podstawy prawnej;
  16. Czy podmiot ma opracowaną klauzulę informacyjną, czy klauzula ta zawiera wszystkie elementy wymagane przez RODO, czy jest aktualna, czy jest dostosowywana do poszczególnych sytuacji przetwarzania danych osobowych;
  17. Czy podmiot zgodnie z zasadą rozliczalności jest w stanie wykazać wykonywanie obowiązku informacyjnego.

 

Ostatnim krokiem audytu RODO jest weryfikacja respektowania praw podmiotów danych oraz reakcja na naruszenia ochrony danych osobowych w przeszłości.

Środki organizacyjne i techniczne

Zadaniem IDO jest doradztwo Administratorowi w celu dobrania środków organizacyjnych i technicznych, które zminimalizują ryzyka naruszenia ochrony danych osobowych.

Dobór środków i zakresu zabezpieczeń wdrażanych przez administratora powinien zależeć od zakresu, formy, celu i ilości przetwarzanych danych, tak by zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

W niektórych przypadkach powinien on również brać pod uwagę koszty wdrożenia oraz stan wiedzy technicznej w zakresie możliwych do wdrożenia rozwiązań.

Po zakończonej części organizacyjno prawnej rozpoczynamy audyt techniczno-informatyczny.

Sprawdź:

Jeśli potrzebujesz przeprowadzić audyt RODO w swojej organizacji naciśnij przycisk poniżej, pomożemy!

Sprawdź naszą ofertę!

Masz pytanie?
Napisz do nas

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Udostępnij ten post
Facebook
LinkedIn