Audyt zgodności z RODO - co działa, a co nie ?

Ocena zgodności organizacji z RODO wymaga podejścia wielowątkowego i odpowiedniego doboru narzędzi audytowych. Niestety audyt często opiera się na wiedzy własnej audytora lub niesprawdzonych informacjach. Taki stan rzeczy prowadzi do błędnych wyników audytu i identyfikacji niezgodności tam gdzie ich nie ma lub co gorsze identyfikowaniu zgodności tam gdzie jej nie ma.

Narzędzia audytowania

Przystępowanie do audytu zgodności organizacji z jakimikolwiek normami czy przepisami bez odpowiednich narzędzi przypomina wybieranie się na wojnę bez broni. Narzędzia audytowania to nic innego jak listy kontrolne zgodności z RODO. Jakość list kontrolnych w dużej mierze wpływa na wynik końcowy audytu. Pomijanie ważnych aspektów w listach kontrolnych powoduje braki w raportach. Z drugiej strony zbyt szczegółowe pytania kontrolne nie podnoszą jakości raportu. Co więcej wprowadzają w nim jedynie chaos. Dlatego w trakcie przygotowania list kontrolnych do wybranych metod audytowych jest zadaniem niezmiernie ważnym. Szczególności dla inspektorów ochrony danych (IOD)

Fragment przykładowej listy kontrolnej zgodności z RODO

Metody audytowania

Kolejnym problemem praktycznym może być dobór właściwej metody audytowania do konkretnej organizacji. W jednym podmiocie świetnie sprawdzi się wywiad osobowy. Z kolei w innym będzie przeważała wizja lokalna. W jednej organizacji nie będzie co testować. Natomiast w innej warto sprawdzić jak działają poszczególne procedury zapewniające zgodność z RODO. Każda z metod audytowania ma swoje wady i zalety dlatego nie warto rezygnować z żadnej z nich. Lepszym rozwiązaniem jest określanie, która metoda lepiej sprawdzi się w stosunku do konkretnej organizacji. Najpowszechniej wykorzystywaną metodą audytu jest wywiad osobowy, Jest to po prostu gromadzenie informacji od osób przetwarzających dane osobowe lub wręcz właścicieli procesów przetwarzania danych osobowych. Jednak podstawową wadą wywiadu osobowego jest niski poziom wiarygodności osób z którymi się rozmawia. Jak rówenież po prostu brak ich wiedzy na konkretny temat. Dlatego też dobrze jest uzupełnić wywiad osobowy o wizję lokalną, czyli sprawdzenie wiarygodności osoby, która przekazywała wyjaśnienia ustnie.

audyt zgodności z rodo
Metody przeprowadzania audytu zgodności z RODO.

Zaniedbane i nadużywane metody

Znaczna część inspektorów ochrony danych popełnia zasadniczy błąd bazując na metodzie audytowania jaką jest analiza dokumentów. Wychodzą oni z założenia, że skoro w dokumentacji zgodności z RODO jest opisana konkretna procedura to nie ma potrzeby dalszego badania tej procedury tylko oznaczają wymóg jako zgodność. Pokładanie zbyt dużej dozy zaufania w dokumenty często prowadzi do pomijania oceny faktycznego wdrożenia procedur. Finałem takiego działania jest często zgodność tam, gdzie jej nie ma. Z drugiej strony bardzo rzadko audytorzy korzystają z konfrontacji, czyli odbierania wyjaśnień jednocześnie od dwóch osób w celu ustalenia stanu faktycznego. Prawie nigdy w trakcie audytu audytorzy nie sprawdzają rzeczywistego poziomu wdrożenia zabezpieczeń organizacyjnych, czyli nie testują działania procedur. Testowanie powinno odbywać się w trakcie wizji lokalnej. Nie musi to być działanie bardzo rozbudowane ale np. poproszenie pracownika o kartkę papieru w trakcie wizji lokalnej pozwoli nam ocenić na ile wdrożono politykę czystego ekranu. Jeżeli odchodząc od stanowiska pracy nie zablokuje komputera to jest to informacja dla audytora, że nie każdy pracownik ma zwyczaj blokowania komputera.

Podsumowując w mojej ocenie powyższe metody i ich łączenie na potrzeby audytu zgodności z RODO wpływa bardzo korzystnie na wynik audytu, czyli Raport zgodności z RODO. Zachęcam do komentowania, jeżeli macie inne doświadczenia w audytowaniu …

Aktualizacja: Warto skorzystać z przykładowego narzędzia audytowego, by zorientować się jak może wyglądać Raport zgodności z RODO.