• Audyt zgodności z RODO

    Czy twoja organizacja jest przygotowana na kontrolę Prezesa UODO lub kontrahenta? Czy posiadasz dowody skutecznego wdrożenia RODO w twojej organizacji? System ochrony danych osobowych musi być okresowo weryfikowany, bo każda organizacja się zmienia. Skorzystaj z usługi audytu i przekonaj się jakie niezgodności są w twojej organizacji.
  • Dokumentacja zgodności z RODO

    Czy twoja organizacja posiada opisane wszelkie procedury wymagane przez RODO? Czy dokumentacja jest na tyle przejrzysta i spójna, że da się ją faktycznie wdrożyć? Dokumentacja zgodności z RODO musi odzwierciedlać nie tylko przepisy prawa ale musi być wdrożona tj. działać w organizacji. Skorzystaj z usługi opracowania dedykowanej dokumentacji dopasowanej do twojej organizacji.
  • Szkolenia z RODO

    Czy twoi pracownicy są w stanie zidentyfikować, które informacje to dana osobowa? Czy wiedzą jak skutecznie chronić dane osobowe przed zagrożeniami? Bezpieczeństwo danych osobowych jest na tyle wysokie na ile pracownicy wiedzą jak je chronić.
  • Przejęcie funkcji IOD

    Czy twoja organizacja powołała IOD z dniem 31 lipca 2018r.? Pamiętaj, że zgodnie z RODO za nie powołanie IOD, grozi kara administracyjna do 10 mln € lub 2% światowego obrotu za rok ubiegły. Outsourcing IOD to rozwiązanie bardziej korzystne niż dodatkowy etat. Pełnienie nadzoru przez IOD w wielu organizacjach mimo, że jest wymagane przez RODO to wcale nie wymaga codziennej pracy, a jedynie gotowości do działania.
  • Aplikacja PDPS

    Oferujemy aplikację do zarządzania systemem ochrony danych osobowych w organizacji. PDPS pozwala samodzielnie wdrożyć i nadzorować system ochrony danych osobowych inspektorom ochrony danych osobowych. Korzystanie z oprogramowania możliwe w trzech wariantach dopasowanych do potrzeb każdej organizacji.

Audyt zgodności z RODO - co działa, a co nie ?

Ocena zgodności organizacji z RODO wymaga podejścia wielowątkowego i odpowiedniego doboru narzędzi audytowych. Niestety audyt często opiera się na wiedzy własnej audytora lub niesprawdzonych informacjach. Taki stan rzeczy prowadzi do błędnych wyników audytu i identyfikacji niezgodności tam gdzie ich nie ma lub co gorsze identyfikowaniu zgodności tam gdzie jej nie ma.

Narzędzia audytowania

Przystępowanie do audytu zgodności organizacji z jakimikolwiek normami czy przepisami bez odpowiednich narzędzi przypomina wybieranie się na wojnę bez broni. Narzędzia audytowania to nic innego jak listy kontrolne zgodności z RODO. Jakość list kontrolnych w dużej mierze wpływa na wynik końcowy audytu. Pomijanie ważnych aspektów w listach kontrolnych powoduje braki w raportach. Z drugiej strony zbyt szczegółowe pytania kontrolne nie podnoszą jakości raportu. Co więcej wprowadzają w nim jedynie chaos. Dlatego w trakcie przygotowania list kontrolnych do wybranych metod audytowych jest zadaniem niezmiernie ważnym. Szczególności dla inspektorów ochrony danych (IOD)

Fragment przykładowej listy kontrolnej zgodności z RODO

Metody audytowania

Kolejnym problemem praktycznym może być dobór właściwej metody audytowania do konkretnej organizacji. W jednym podmiocie świetnie sprawdzi się wywiad osobowy. Z kolei w innym będzie przeważała wizja lokalna. W jednej organizacji nie będzie co testować. Natomiast w innej warto sprawdzić jak działają poszczególne procedury zapewniające zgodność z RODO. Każda z metod audytowania ma swoje wady i zalety dlatego nie warto rezygnować z żadnej z nich. Lepszym rozwiązaniem jest określanie, która metoda lepiej sprawdzi się w stosunku do konkretnej organizacji. Najpowszechniej wykorzystywaną metodą audytu jest wywiad osobowy, Jest to po prostu gromadzenie informacji od osób przetwarzających dane osobowe lub wręcz właścicieli procesów przetwarzania danych osobowych. Jednak podstawową wadą wywiadu osobowego jest niski poziom wiarygodności osób z którymi się rozmawia. Jak rówenież po prostu brak ich wiedzy na konkretny temat. Dlatego też dobrze jest uzupełnić wywiad osobowy o wizję lokalną, czyli sprawdzenie wiarygodności osoby, która przekazywała wyjaśnienia ustnie.

audyt zgodności z rodo
Metody przeprowadzania audytu zgodności z RODO.

Zaniedbane i nadużywane metody

Znaczna część inspektorów ochrony danych popełnia zasadniczy błąd bazując na metodzie audytowania jaką jest analiza dokumentów. Wychodzą oni z założenia, że skoro w dokumentacji zgodności z RODO jest opisana konkretna procedura to nie ma potrzeby dalszego badania tej procedury tylko oznaczają wymóg jako zgodność. Pokładanie zbyt dużej dozy zaufania w dokumenty często prowadzi do pomijania oceny faktycznego wdrożenia procedur. Finałem takiego działania jest często zgodność tam, gdzie jej nie ma. Z drugiej strony bardzo rzadko audytorzy korzystają z konfrontacji, czyli odbierania wyjaśnień jednocześnie od dwóch osób w celu ustalenia stanu faktycznego. Prawie nigdy w trakcie audytu audytorzy nie sprawdzają rzeczywistego poziomu wdrożenia zabezpieczeń organizacyjnych, czyli nie testują działania procedur. Testowanie powinno odbywać się w trakcie wizji lokalnej. Nie musi to być działanie bardzo rozbudowane ale np. poproszenie pracownika o kartkę papieru w trakcie wizji lokalnej pozwoli nam ocenić na ile wdrożono politykę czystego ekranu. Jeżeli odchodząc od stanowiska pracy nie zablokuje komputera to jest to informacja dla audytora, że nie każdy pracownik ma zwyczaj blokowania komputera.

Podsumowując w mojej ocenie powyższe metody i ich łączenie na potrzeby audytu zgodności z RODO wpływa bardzo korzystnie na wynik audytu, czyli Raport zgodności z RODO. Zachęcam do komentowania, jeżeli macie inne doświadczenia w audytowaniu …

Aktualizacja: Warto skorzystać z przykładowego narzędzia audytowego, by zorientować się jak może wyglądać Raport zgodności z RODO.