Audyt RODO – jak ustalać jego zakres, kryteria i cele?

Zakres, kryteria i cele audytu RODO dla poszczególnych administratorów danych będą różnić się w zależności od wielkości tych podmiotów, prowadzonej przez nich działalności oraz rodzaju prowadzonych operacji przetwarzania danych osobowych i stosowanej w tym celu technologii.

Kryteria przeprowadzania audytu

Co prawda przepisy RODO nie precyzują, jak należy przeprowadzać audyty RODO ani jakimi kryteriami należy się posłużyć, to jednakże zgodnie z art. 5 ust. 2 RODO administratora danych obowiązuje zasada rozliczalności, co oznacza, że jest on odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać, że ich przestrzega. Jednym ze sposobów, by sprostać temu wymaganiu, jest przeprowadzanie regularnych audytów w obszarach, w których istnieje największe zagrożenie wystąpienia nieprawidłowości lub naruszenia bezpieczeństwa danych osobowych.

Zakres audytu powinien być zatem ustalony na podstawie przeprowadzonej analizy ryzyka, z uwzględnieniem potrzeb i aktualnej sytuacji administratora danych, np. czy dopiero zamierza wdrożyć przepisy RODO, czy też chce dokonać sprawdzenia funkcjonujących procedur, tak aby wyniki audytu pozwoliły administratorowi danych wykazać, zgodnie z zasadą rozliczalności, że w jego organizacji przestrzegane są przepisy RODO.

Cele audytu

Cele audytu RODO będą różne w zależności od tego, jaki jego rodzaj administrator danych będzie chciał przeprowadzić. W kontekście RODO można wyróżnić co najmniej kilka rodzajów audytów RODO, są to m.in.:

  • audyt przed wdrożeniem RODO,
  • audyty okresowe,
  • audyt wdrożonych środków zabezpieczających,
  • audyt na potrzeby wprowadzenia zmian w procesie przetwarzania danych osobowych,
  • audyt wynikający z umowy powierzenia przetwarzania danych1

Cele audytu administrator danych powinien określać przede wszystkim z uwzględnieniem rezultatu, jaki chce osiągnąć, np. czy administrator danych chce dopiero wdrożyć przepisy RODO, skontrolować funkcjonowanie zabezpieczeń, czy też sprawdzić funkcjonowanie podmiotu przetwarzającego, z którym zawarł umowę. Na podstawie zdefiniowanego efektu, jaki administrator danych chce osiągać przez za...

Dalsza część jest dostępna dla użytkowników z wykupionym planem