Audyt zgodności można porównać do kompleksowo przeprowadzonej diagnozy lekarskiej. Dobrze wykonany audyt pokazuje silne i słabe strony ochrony danych osobowych w organizacji i staje się punktem wyjścia do działań naprawczych.
Dlaczego audyt zgodności z RODO jest tak ważny i jak go zorganizować, aby był efektywny i wartościowy dla administratora danych? Odpowiedzi na te i inne pytania poznasz w tym e-booku.
E-book skierowany jest w szczególności do:
- inspektorów ochrony danych osobowych,
- administratorów danych i podmiotów przetwarzających,
- prawników zainteresowanych tematy ochrony danych osobowych.
Nie zwlekaj, zamów już teraz bezpłatnego e-booka pt.:
"Audyt zgodności z RODO - praktyczne wskazówki i wzory dokumentów".
Z e-booka dowiesz się:
- jakie kompetencje powinien mieć audytor,
- od czego najlepiej zacząć audyt,
- z jakich narzędzi audytowych może korzystać audytor,
- jak audytować pomieszczenia, systemy informatyczne i dokumenty,
- jak przygotować sprawozdanie z audytu i zalecenia naprawcze?
W e-booku znajdziesz także przydatne podczas audytowania wzory dokumentów, takie jak:
- plan wewnętrznego audytu zgodności z RODO;
- sprawozdanie z audytu zgodności z przepisami RODO.
Bądź krok przed innymi – pobierz e-booka i zyskaj praktyczne wskazówki w zakresie audytu zgodności z RODO!
Narzędzia audytowe
Przepisy RODO nie wymagają od inspektora ochrony danych, aby osobiście przeprowadzał audyt, chociaż przyjęło się w praktyce, że właśnie tak jest to realizowane. Uważam, że inspektor może posiłkować się doświadczeniem, wiedzą oraz pracą innych audytorów (np. audytu wewnętrznego), zatrudnionego radcy prawnego oraz informatyków. Nie musi także osobiście pozyskiwać wszystkich informacji.
W ramach monitorowania przestrzegania przepisów można:
- zbierać informacje;
- analizować i sprawdzać zgodność przetwarzania;
- informować, doradzać i rekomendować określone działania.
Co oznacza w szczególności, że można kierować określone pytania do poszczególnych osób zaangażowanych w proces lub odpowiedzialnych za zapewnienie bezpieczeństwa. Przeprowadzając audyt należy postawić się w roli zadającego pytania, który nic nie zakłada i niczego nie przyjmuje jako pewne. Bardzo ważne jest, aby z góry nie zakładać, jak coś jest realizowane lub że jest wykonywane dobrze lub źle.
Wśród narzędzi służących do oceny zgodności przede wszystkim wyróżniłabym:
- ankiety (także anonimowe);
- rozmowy z personelem;
- oględziny miejsc przetwarzania;
- przegląd serwisów internetowych;
- wgląd do nośników i systemów przetwarzania;
- przegląd dokumentacji ochrony danych;
- analizę przepisów sektorowych.
Ankiety są jednym z bardziej popularnych i lubianych narzędzi, ze względu na możliwość dotarcia do bardzo dużej grupy osób zaangażowanych w proces oraz możliwość statystycznego analizowania danych. Konstruując ankiety należy zastanowić się, czemu mają służyć i jak będzie dokonywana ich analiza. Nim więcej otwartych pytań, tym ciekawsze wnioski, ale także trudniejsza analiza. Pytania ankietowe lub zadawane podczas bezpośrednich rozmów powinny dążyć do ustalenia stanu faktycznego. Dobrą metodą jest „pytanie zamknięte – pytanie otwarte”, np. „Czy jest u Państwa polityka ochrony danych?” W przypadku odpowiedzi twierdzącej: „Proszę o opisanie jakie są zasady ochrony danych wynikające z polityki, które musi Pani stosować”. Dobre jest także poproszenie o wykonanie pewnej czynności, np. gdy użytkownik twierdzi, że zabezpiecza hasłem przekazywane elektronicznie pliki, audytor prosi o pokazanie w jaki sposób to robi. Warto czasami także zadać pytanie „sprawdzające”, np. „Czy zachowuje Pan swoje hasło w tajemnicy?”, w przypadku odpowiedzi twierdzącej, zapytać trochę później „Komu udostępnia Pan swoje hasło podczas nieobecności?”. Bardzo często w przypadku pierwszego pytania, użytkownik zapewnia, że nikomu nie ujawnia hasła, po czym przy drugim wskazuje przełożonego lub kolegę z pokoju, jako osobę, której powierza hasło na czas urlopu.
Chcesz wiedzieć więcej? Pobierz e-booka !
Skorzystaj ze wskazówek, które pomogą Ci prawidłowo wykonać audyt zgodności z RODO w Twojej firmie!
LEX Ochrona Danych Osobowych to serwis prawny, który pomoże Ci wdrożyć i należycie stosować przepisy RODO oraz innych aktów (w tym sektorowych), które dotyczą ochrony danych osobowych. Z LEX ODO przeprowadzisz także kompleksową analizę ryzyka.