Kto przeprowadza audyty RODO?

Przepisy RODO nie precyzują, kto musi przeprowadzać audyty RODO. Co prawda, wskazują, że ich przeprowadzanie jest jednym z obowiązków Inspektora Ochrony Danych (dalej: IOD), ale nie każdy administrator danych musi wyznaczać IOD. Co więcej, niejednokrotnie wskazane jest, aby audyt przeprowadził podmiot zewnętrzny, który skontrolowałby także realizację zadań przez IOD.

Audyt RODO, gdy nie ma powołanego Inspektora Ochrony Danych

Zakres podmiotów, w których powołanie IOD jest obowiązkowe, jest stosunkowo niewielki. Poza podmiotami publicznymi oraz podmiotami prywatnymi, które zajmują się przetwarzaniem danych osobowych na dużą skalę, czy to w zakresie monitorowania osób, czy też w związku z przetwarzaniem danych szczególnych kategorii, większość podmiotów, w szczególności prywatnych przedsiębiorstw, nie ma obowiązku powołania IOD.

W tej sytuacji w tych podmiotach zasadnie pojawia się pytanie, kto zatem powinien przeprowadzić audyt RODO? W zasadzie nie ma jednoznacznej odpowiedzi, gdyż przepisy RODO nie wskazują, kto może być w takiej sytuacji audytorem.

Nie ulega wątpliwości, że taki audyt może przeprowadzić nawet sam administrator danych. Co więcej, w przypadku wielu osób prowadzących jednoosobową działalność gospodarczą, taki samodzielny audyt będzie wystarczający, zwłaszcza jeśli administrator danych nie zatrudnia żadnych pracowników, a przetwarzane przez niego dane osobowe to zwykle dane klientów, na rzecz których prowadzi sprzedaż towarów lub usług. Zazwyczaj administrator danych przetwarza wtedy podstawowe informacje, potrzebne do wystawienia rachunku czy też faktury, a narzędzia, z których korzysta, to zwykle telefon i e-mail. W takich sytuacjach sprawdzenie stosowanych zabezpieczeń (np. aktualizacja oprogramowania lub antywirusów) oraz aktualności stosowanych klauzul informacyjnych czy zabezpieczeń gromadzonej dokumentacji papierowej może okazać się wystarczające, zwłaszcza jeśli administrator danych dba o aktualizowanie swojej dokumentacji na bieżąco, np. w przypadku zmiany przepisów prawa.

W przypadku większych podmiotów, które nie mają obowiązku wyznaczania IOD, ale prowadzone przez nich operacje przetwarzania danych są bardziej złożone, możliwa jest sytuacja, gdy audyt RODO przeprowadzi osoba odpowiedzialna za kwestie ochrony danych osobowych w podmiocie. Zazwyczaj w takich firmach administrator danych zatrudnia specjalistę ds. ochrony danych osobowych albo kieruje jednego (lub kilku) ze swoich pracowników na szkolenie z zakresu ochrony danych osobowych, by uzyskać wsparcie w kwestii przestrzegania przepisów RODO. Takie osoby zazwyczaj będą posiadały odpowiednie kompetencje, by przeprowadzić audyt RODO w zakresie działalności p...

Dalsza część jest dostępna dla użytkowników z wykupionym planem