Audyt RODO – Dlaczego jest taki ważny?
Ochrona danych osobowych to jedno z głównych zadań współczesnego świata. Każdy z nas chce wiedzieć kto dysponuje jego danymi, jak dane są przetwarzane, a przede wszystkim jakie instytucje, bazy mają dostęp do naszych danych. Aby sprawdzić prawidłowość procesów przetwarzania i ochrony powstał audyt, który identyfikuje, bada a następnie analizuje procesy względem przepisów RODO.
Czym jest RODO?
RODO jest ogólnym rozporządzeniem o ochronie danych, które weszło w życie 25 maja 2018 roku we wszystkich państwach członkowskich Unii Europejskiej. Wprowadzono je w celu harmonizacji przetwarzania danych osobowych osób fizycznych oraz zapewnienia swobodnego przepływu danych między państwami członkowskimi UE.
Ustawa o ochronie danych osobowych w Polsce
W Polsce RODO obowiązuje na podstawie ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych. 31 stron oraz 175 artykułów określa obowiązujące przepisy i rozwiązania, które mają zastosowanie w naszym kraju.
Dlaczego RODO jest ważne?
RODO chroni dane osobowe, takie jak m.in.: imię i nazwisko; adres zamieszkania; adres e-mail, taki jak imię.nazwisko@firma.com; numer dowodu tożsamości; dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym); adres IP; identyfikator plików cookie; identyfikator reklamowy w telefonie komórkowym; dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby.
Znaczenie RODO:
- ochrona prywatności – zapewnienie większej kontroli nad danymi osobowymi. Osoby mają prawo wiedzieć, jakie dane są przetwarzane i do czego są poddane kontroli,
- bezpieczeństwo danych – przedsiębiorstwo musi mieć procesy, aby zabezpieczyć dane przed nieautoryzowanym użyciem, ujawnieniem lub kradzieżą,
- wiarygodność i zaufanie – dzięki przestrzeganiu RODO firmy budują wizerunek i zaufanie swoich klientów,
- kary za naruszenie – RODO wprowadza surowe kary finansowe za regulacje prawne, które mogą sięgać nawet 20 mln euro lub 4% globalnego obrotu firmy. To stanowi ogromny bodziec dla przedsiębiorstw, aby spełniać przepisy dotyczące ochrony danych osobowych,
- globalny wpływ – RODO jest unijną dyrektywą, mającą wpływ na firmy z całego świata, dlatego też jest ważne także poza granicami Unii.
Audyt RODO
Audyt jest niezależną oceną danej organizacji, systemu, procesu lub projektu. Co ciekawe z przepisów RODO nie wynika wprost, aby przeprowadzać audyt zgodności. Obowiązkowe jest jednak regularne dokonywanie przeglądów i oceny skuteczności wdrożonych zabezpieczeń.
Audyt powinien zostać przeprowadzony przed wdrożeniem dokumentacji, jak po wdrożeniu. Dlatego też możemy wyróżnić dwa rodzaje audytu:
- wstępny – przeprowadzany w przedsiębiorstwie, w którym jak dotąd nie wdrażano RODO lub u przedsiębiorcy, który planuje rozpoczęcie nowej działalności. Wynik audytu będzie prowadził do przygotowania i implantacji procedur od podstaw,
- okresowy – zwany też powdrożeniowym. Przeprowadzany cyklicznie, który ma na celu szczególną kontrolę skuteczności przyjętych środków bezpieczeństwa danych osobowych, a także przeszkolenie personelu organizacji w przetwarzaniu danych.
Audyt może przeprowadzić wyznaczony pracownik lub podmiot zewnętrzny, który specjalizuje się w audytach. Do przeprowadzenia audytu wykorzystywanych jest wiele narzędzi takich jak: ankiety, rozmowy z pracownikami, oględziny miejsc, wgląd do nośników danych czy kontrola systemów informatycznych.
Audyt daje odpowiedzi na wiele pytań. Ustala procesy: przetwarzania danych, zgodności z przepisami, kategoryzuje dane przechowywane w organizacji. Sprawdza, czy dane są minimalizowane oraz w jaki sposób są transferowane do podmiotów trzecich i na jakiej podstawie te transfery występują. Ponadto sprawdza, czy administrator danych wypełnia swoje obowiązki i czy przedsiębiorca stosuje środki ochrony danych a także czy podejmuje działania w przypadku występowania incydentów związanych z naruszeniem czy wyciekiem danych.
Osobą wspierającą administratora danych w realizacji obowiązków dotyczących ochrony danych jest Inspektor Ochrony Danych (IOD). Jego zadaniem jest informowanie o obowiązkach, monitorowanie przestrzegania RODO, udzielanie zaleceń, współpraca z organem nadzorczym, a także pełnienie funkcji punktu kontaktowego dla organu nadzorczego.
Audyt kończy się sporządzaniem raportu, w którym opisany jest stan faktyczny. Określa obszary problemowe, a także zawiera elementy, których przedsiębiorstwo nie spełniło. W raporcie mogą także znaleźć się zalecenia do poprawy ochrony danych takie jak: szkolenia pracowników czy zwiększenie zabezpieczeń cyfrowych
Podsumowanie
Audyt RODO jest niezwykle ważny i może być przeprowadzony w każdej organizacji. Ochrona przedsiębiorstwa przed milionowymi karami, poprawa wizerunku czy budowanie zaufania do organizacji, to elementy ważne dla każdej organizacji. Warto jest zainwestować w audyt RODO, aby firma postrzegana była jako odpowiedzialna i wiarygodna. Co więcej audyt jest skuteczniejszy od kontroli – działa na wielu płaszczyznach i przy odpowiednich narzędziach wyszukuje luki i niezgodności, a następnie daje odpowiedź i gotowe rozwiązania organizacji jak ma rozwiązać nieprawidłowości.
Jeśli jesteś zainteresowany profesjonalnym przeprowadzeniem audytu zapraszamy do zapoznania się z ofertą naszej firmy!
Źródło:
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Ogólne rozporządzenie o ochronie danych
Więcej treści związanych z bezpieczeństwem informacji i cyberbezpieczeństwem znajdziecie w zakładce wiedza.
~Karolina Nowakowska