Dobre praktyki prowadzenia audytu

Dobre praktyki prowadzenia audytu RODO to zbiór ogólnych wytycznych, które powinny być brane pod uwagę na etapie planowania audytu, ustalania jego terminów, celów i zakresu, ale także przygotowywania narzędzi i metod sporządzania audytu oraz sposobu prezentacji jego wyników.

Zasada proporcjonalności

W kontekście przygotowywania audytu w zakresie przetwarzania danych osobowych należy zastosować zasadę proporcjonalności, ale rozumianą w ten sposób, że dobór narzędzi, metod i zakresu przeprowadzanego audytu będzie uwzględniał wielkość administratora danych, rodzaj prowadzonej przez niego działalności, a przede wszystkim przepisy sektorowe, które odnoszą się do branży, w której działa administrator danych. Zasada proporcjonalności w tym ujęciu ma na celu przede wszystkim dostosowanie planowanego audytu do potrzeb administratora danych.

Kompleksowe badanie procesów przetwarzania danych osobowych

Należy także pamiętać, że w sytuacji gdy przeprowadzany jest audyt procesów związanych z przetwarzaniem danych osobowych, to powinien on dotyczyć całego tego procesu od początku do końca, tj. od chwili zbierania danych osobowych, przez ich obieg w organizacji, aż do etapu ich archiwizacji i usunięcia. Takie ujęcie przeprowadzanego audytu będzie wiązało się z analizą szeregu wytycznych, zarówno Prezesa Urzędu Ochrony Danych Osobowych, jak i innych wynikających z przepisów sektorowych. Dodatkowo audytorzy powinni prześledzić obieg danych, analizując procedury obowiązujące w różnych działach w organizacji. Konieczne będzie także przeprowadzenie oględzin pomieszczenia i wdrożonych w nim zabezpieczeń.

Właściwe przygotowanie planu i harmonogramu audytu

Kolejną istotną kwestią, którą należy uwzględnić, jest właściwe przygotowanie planu i harmonogramu audytu. Należy przy tym mieć na uwadze omówioną wyżej zasadę proporcjonalności, czyli dobór środków i metod planowanego audytu do wielkości organizacji administratora danych i dokonywanego przez niego przetwarzania danych osobowych. Jednocześnie należy zadbać o to, żeby planowany audyt nie kolidował z harmonogramem organizacji. Przeprowadzenie audytu i udział w nim pracowników nie powinny wpływać na wykonywanie przez nich obowiązków zawodowych, stąd warto zadbać, by planowane sprawdzenia nie pokrywały się z okresem najintensywniejszej pracy, zwłaszcza jeśli działalność administratora danych ma charakter sezonowy.

Odpowiednia prezentacja wyników audytu

Przeprowadzenie audytu RODO zazwyczaj wiąże się z celem, jaki administrator danych chce osią...

Dalsza część jest dostępna dla użytkowników z wykupionym planem