Audyt wewnętrzny a audyt zewnętrzny

Audyt RODO może zostać przeprowadzony zarówno przez wewnętrzny zespół administratora danych, jak i podmiot zewnętrzny. Przepisy RODO nie narzucają w tym zakresie żądanej preferowanej formy audytu. To sam administrator danych może zdecydować, czy w jego przypadku bardziej korzystne, także z punktu widzenia zgodności z przepisami, będzie przeprowadzenie audytu wewnętrznego czy zewnętrznego. Każde z tych rozwiązań ma swoje wady i zalety. Decydująca będzie zatem sytuacja administratora danych.

Audyt RODO wewnętrzny – wady i zalety

Przeprowadzenie audytu RODO przez wewnętrzny zespół administratora danych czy to złożony z Inspektora Ochrony Danych (dalej: IOD) i osób, które go wspierają, czy też z zespołu specjalistów zajmujących się ochroną danych osobowych w organizacji administratora danych, ma tę zaletę, że osoby te doskonale znają procedury obowiązujące u administratora danych. Mają też świadomość słabych punktów całego systemu ochrony danych osobowych w organizacji, które są najbardziej narażone na ataki i zagrożenia, gdyż zostały one ustalone na podstawie przeprowadzonej analizy ryzyka.

Wskazane wyżej okoliczności mogą być jednak największą wadą przeprowadzania audytu RODO przez wewnętrzny zespół administratora danych. Istnieje bowiem zagrożenie, że pomimo posiadanej wiedzy i kompetencji osoby, które na co dzień pracują w danym podmiocie, mogą nie zauważyć wszystkich zagrożeń, zwłaszcza takich, które są wynikiem zaniedbań lub nieprzestrzegania procedur przez personel administratora danych. Może się bowiem pojawić ryzyko, że jeżeli np. IOD lub inna osoba, będąca specjalistą ds. ochrony danych osobowych, nie będzie miała zagwarantowanego odpowiedniego poziomu niezależności, to nie będzie gotowa zwracać uwagi w audycie na pojawiające się nieprawidłowości.

W tej sytuacji świadomy administrator danych musi zwracać uwagę na zapewnienie osobom przeprowadzającym audyt odpowiedniego stopnia niezależności, zarówno od przełożonych, jak i od nacisków współpracowników, także nieformalnych. Należy bowiem zwracać uwagę na wszystkie okoliczności, które mogą wskazywać, że IOD lub inna osoba odpowiedzialna za przeprowadzenie audytu obawia się np. reakcji współpracowników na wytknięcie im błędów. Jest to szczególnie istotne, gdy przeprowadzany jest audyt wdrożonych procedur dotyczących bezpieczeństwa danych osobowych.

Audyt RODO zewnętrzny – wady i zalety

Oczywistą zaletą przeprowadzenia zewnętrznego audytu RODO jest przede wszystkim gwarancja niezależności audytorów oraz brak ryzyka, że którykolwiek z pracowników będzie próbował wywierać jakiekolwiek naciski na osoby przeprowadzające audyt. Dzięki czemu wyniki takiego audytu będą miarodajne dla administratora danych i pozwolą na ujawnienie tych nieprawidłowości, na które mógł nie zwrócić wcześniej uwagi.

Zlecenie audytu RODO zewnętrznemu podmiotow...

Dalsza część jest dostępna dla użytkowników z wykupionym planem