RODO służy zapewnieniu oraz kompleksowej ochronie przechowywanych i przetwarzanych danych osobowych. Jednakże żaden z przepisów RODO nie określa w sposób jednorodny, jak powinna wyglądać taka ochrona. Nie istnieje również instrukcja ani metoda stanowiąca, jakie wdrożenie w sposób wystarczający zapewniłoby bezpieczeństwo danych.
Każda organizacja powinna we własnym zakresie zatroszczyć się o to, by przechowywane oraz przetwarzane przez nią dane osobowe były bezpieczne. Winna ona zatem opracować takie procedury bezpieczeństwa, które zgodne będą z regulacjami RODO. Wdrożone systemy bezpieczeństwa muszą uwzględniać też tajemnice organizacji oraz ustalony przez w niej sposób ich ochrony.
Z tego powodu najważniejszym oraz pierwszym krokiem, który podjąć należy celem wdrożenia rozwiązań RODO jest przeprowadzenie audytu.
Czym jest audyt RODO?
W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679, czyli ogólnym rozporządzeniu o ochronie danych nie wskazano, jak dokładnie powinien wyglądać audyt, nie ma tam również żadnych przepisów, które opisują jego stronę techniczną. Cel audytu stanowi oszacowanie stopnia przygotowania organizacji do obowiązków, które wynikają z przepisów rozporządzenia. Winien on więc dokładnie określać rodzaj oraz zakres przetwarzanych danych, a także zidentyfikować obszary, które wymagają zmiany lub poprawy oraz pozwalać zaplanować wdrożeniowe działania. Umożliwia on lepsze poznanie organizacji oraz stanowi punkt wyjścia przed rozpoczęciem wdrożenia RODO.
W zakresie audytu niezbędne jest sprawdzenie:
- jakie dane osobowe znajdują się w posiadaniu organizacji, a także czy osoby, których owe dane dotyczą wyraziły zgodę na ich przetwarzanie;
- jaki jest cel oraz zakres przetwarzania danych osobowych;
- czy wszelkie dane, jakie są przechowywane przez organizację, są niezbędne;
- jak wyglądają techniczne sposoby przechowywania danych osobowych, a zatem między innymi systemy zabezpieczeń, certyfikaty bezpieczeństwa stron internetowych, a także zabezpieczenia fizyczne;
- jak przedstawia się stan wiedzy pracowników organizacji, którzy posiadają dostęp do danych osobowych, także danych osobowych innych zatrudnionych osób czy klientów;
- jak przedstawiają się dokumenty albo umowy zawierane przez organizację w odniesieniu do zapewnienia ochrony danych, którymi ona dysponuje.
Prawidłowo przeprowadzony audyt RODO pozwala uzyskać obraz, jakie dane osobowe oraz w jaki sposób są przetwarzane w danej organizacji. Będzie również stanowił podstawę do podjęcia kolejnych decyzji odnośnie sposobu wdrożenia RODO.
Raport z audytu
Każdy audyt, w tym również audyt RODO, winien zostać podsumowany raportem. Raport z audytu musi pozwolić uzyskać odpowiedzi na kluczowe pytania, a mianowicie:
- czy trzeba powołać w organizacji Inspektora Ochrony Danych;
- jakie działania na danych osobowych są realizowane w danej organizacji;
- czy procesy przetwarzania danych są zgodne z wytycznymi RODO;
- czy organizacja nie przetwarza zbyt wielu danych osobowych;
- czy stosowane w niej rozwiązania są skuteczne;
- czy pracownicy organizacji znają obowiązujące procedury oraz jak przedstawia się poziom świadomości pracowników względem ochrony i przetwarzania danych;
- do jakich podmiotów zewnętrznych owe dane są transferowane i czy owe transfery posiadają oparcie w postaci umów powierzenia albo przesłanek legalności udostępniania danych;
- czy organizacja stosuje prawidłowe obowiązki informacyjne oraz klauzule zgód;
- jak realizowane są prawa osób, których dane są przetwarzane;
- w jaki sposób kontrolowane są informatyczne oraz techniczne zabezpieczenia;
- czy organizacja posiada opracowaną odpowiednią strukturę systemu ochrony danych oraz czy pracownicy znają swoje obowiązki w jej zakresie;
- czy istnieją odpowiednie zasady postępowania na wypadek wystąpienia incydentu naruszenia danych osobowych;
- czy organizacja jest w stanie wykazać, iż prawidłowo są w niej przestrzegane przepisy ochrony danych.
Dzięki raportowi z audytu organizacja może określić obszary wymagające zmian a także ustalić plan ich wprowadzania. Wdrożenie zalecanych zmian pozwala natomiast na zapewnienie przechowywanym danym odpowiedniego stopnia zabezpieczenia.