Co jeśli audyt wykaże uchybienia?

Prawidłowo przeprowadzony audyt RODO w zasadzie powinien wykazać uchybienia albo wskazać rekomendacje co do obszarów, w których ryzyko powstania naruszeń bezpieczeństwa danych jest największe. Jest raczej niemożliwie, by w organizacji wszystkie procesy przetwarzania danych działały bez zarzutu. Oczywiście może się tak zdarzyć, jeśli zauważone przez audytora uchybienia są na tyle drobne i nieistotne, że nie ma potrzeby wskazywania ich w raporcie, ale warto wtedy w zaleceniach i rekomendacjach zwrócić uwagę na ulepszenie procedur w obszarach, w których dostrzeżono niedociągnięcia.

Zalecenia i rekomendacje w raporcie

Przeprowadzenie audytu należy zakończyć przygotowaniem przez audytora raportu, w którym zostanie opisany cel audytu, zastosowane techniki oraz wnioski. We wnioskach należy wypunktować nie tylko stwierdzane uchybienia, ale także zalecenia i rekomendacje co do zakresu i obszaru, w którym można poprawić obecne procedury. Zalecenia i rekomendacje zawarte w raporcie końcowym powinny także wskazywać, jakie kroki należy podjąć, aby wyeliminować stwierdzone uchybienia.

Wdrażanie planu naprawczego

Na podstawie wniosków i rekomendacji zawartych w poaudytowym raporcie końcowym należy przygotować plan naprawczy. W opracowanie planu naprawczego powinien być zaangażowany Inspektor Ochrony Danych oraz merytoryczni pracownicy, których obszary wykonywania obowiązków pracowniczych będzie ten plan zmieniał. Niejednokrotnie właśnie sami pracownicy mają cenne propozycje usprawnienia procedur, które mogły zostać przygotowane np. z pominięciem wypracowanych przez lata metod pracy. Często okazuje się, że, aby wyeliminować dostrzeżone niedociągnięcia, nie trzeba od razu zmieniać całej procedury, lecz wystarczy poprawić niektóre jej elementy, które z jednej strony będą wpisywać się w obowiązującą praktykę w danym dziale, a z drugiej pozwolą na spełnienie wymogów RODO i poprawienie zaistniałych nieprawidłowości.

Warto zatem zacząć przygotowywanie i wdrażanie planu naprawczego od spotkania z pracownikami, na którym zostaną omówione wyniki raportu i wskazane dostrzeżone uchybienia. Z tym że w trakcie przedmiotowego spotkania powinno się przeprowadzić dyskusję z pracownikami o ich propozycjach w zakresie udoskonalenia procedur w celu eliminacji nieprawidłowości.

Na podstawie tak zebranych wyników audytów i propozycji samych pracowników należy przygotować plan naprawczy,...

Dalsza część jest dostępna dla użytkowników z wykupionym planem