Harmonogram audytów RODO – jak go przygotować?

W poprzednio obowiązującym stanie prawnym administrator bezpieczeństwa informacji (ABI) był zobowiązany do przeprowadzania tzw. sprawdzeń planowych, które ABI powinien przeprowadzać według przygotowanego planu sprawdzeń. Powinien on obejmować okres nie krótszy niż kwartał i nie dłuższy niż rok.

Obecnie przepisy RODO nie nakładają na Inspektora Ochrony Danych (IOD) takiego obowiązku. Z przepisów RODO nie wynika bowiem, jak często należy przeprowadzać audyty RODO. Należy jednak pamiętać, że zgodnie z art. 39 ust. 1 b) RODO jednym z głównych zadań IOD jest monitorowanie przestrzegania RODO, innych przepisów prawa oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

W praktyce oznacza to, że prawidłowe wywiązanie się przez IOD z tych obowiązków wymaga okresowego przeprowadzania audytów RODO. Jest to szczególnie ważne w dużych podmiotach, gdzie jednorazowe przeprowadzenie audytu, obejmującego całą działalność administratora danych, mogłoby poważnie zakłócać pracę jednostki. W tej sytuacji IOD powinien przygotować harmonogram audytów.

Jak zaplanować przeprowadzanie audytów?

Sporządzenie harmonogramu audytów, który pozwalałby na ich efektywne przeprowadzenie, musi być dokonane z uwzględnieniem sytuacji danego administratora. Należy wziąć pod uwagę zarówno takie czynniki, jak wielkość organizacji, liczba pracowników, specyfika branży, w której działa administrator danych, jak i ilość danych, i operacji przetwarzania danych dokonywaną przez administratora danych.

Dodatkowe wytyczne dotyczące sporządzania harmonogramu audytów można znaleźć w komunikacie Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO), opublikowanym w dniu 1 lutego 2021 r., w którym wskazano, że: „Sporządzając plan audytów, warto przemyśleć takie jego elementy, jak: częstotliwość przeprowadzania, metody, kryteria i zakres poszczególnych audytów (w zależności od obszaru poddawanego ocenie), tryb uruchamiania audytów, zasady i sposób jego dokumentowania (w tym czas przechowywania raportu z audytu), zasady i sposób r...

Dalsza część jest dostępna dla użytkowników z wykupionym planem