Rodzaje audytów w kontekście RODO

Przepisy RODO w żadnym miejscu nie precyzują, jakiego rodzaju audyty RODO powinien przeprowadzać administrator danych. Praktyka pokazuje jednak, że można wyróżnić co najmniej kilka rodzajów takich audytów w zależności od sytuacji faktycznej, kategorii danych osobowych, jakie są przetwarzane, oraz rodzaju operacji przetwarzania danych osobowych, jakie mają miejsce w danym podmiocie.

Audyt przed wdrożeniem RODO

Nie ulega wątpliwości, że przed wdrożeniem RODO konieczne jest przeprowadzenie audytu. W szczególności dotyczy to sytuacji, gdy powstaje nowy podmiot, który dopiero określa rodzaj i zakres planowanych operacji przetwarzania danych osobowych. Celem takiego audytu jest ustalenie, jakie dane będą przetwarzane w ramach planowanych operacji, jak będą pozyskiwane, na jakich podstawach prawnych oraz jakie zabezpieczenia należy w związku z tym wdrożyć.

Na podstawie takiego audytu administrator danych opracowuje wewnętrzne procedury dotyczące ochrony danych osobowych, w tym w szczególności politykę bezpieczeństwa danych oraz wszelką dokumentację RODO, taką jak klauzule informacyjne, klauzule zapytania o zgodę, rejestr czynności przetwarzania danych, procedura zgłaszania naruszeń, rejestr naruszeń itd.

Przeprowadzenie takiego wstępnego audytu powinno także dać odpowiedź na pytanie, czy administrator danych ma obowiązek wyznaczenia Inspektora Ochrony Danych.
 

Ważne!

Wdrożenie przepisów RODO powinien poprzedzić szczegółowy audyt operacji przetwarzania danych osobowych oraz ich zabezpieczeń. Tylko na podstawie wyników takiego raportu administrator danych jest w stanie opracować i wdrożyć odpowiednią dokumentację RODO.


Audyty okresowe

O ile zatem przepisy RODO nie dają szczegółowych odpowiedzi, w jaki sposób i jak często przeprowadzać audyty RODO, to nie ulega wątpliwości, że administrator danych jest zobowiązany do dokonywania okresowych audytów w zależności od sytuacji i swoich potrzeb. Zgodnie z art. 24 ust. 1 RODO: uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Z powołanego przepisu wynika zatem jednoznacznie, że częstotliwość i zakres okresowych audytów powinna wynikać z przeprowadzonej analizy ryzyka. Raport z takiej analizy powinien dać odpowiedź, jak często należy wykonywać audyty, mając na uwadze operacje na danych dokonywane przez administratora danych oraz wdrożone zabezpieczenia. Potrzeba uaktualniania środków zabezpieczających dane osobowe będzie przecież zależała od ich rodzaju oraz wykorzystywanej technologii. Oczywiste jest bowiem, że przegląd zabezpieczeń fizycznych, o ile nie nastąpiła jakaś zmiana (np. pożar albo próba włamania), nie musi być aż tak częsty, jak np. przegląd zabezpieczeń systemu informatycznego, który z uwagi na rozwój technologii powinien być regularny.

Audyt wdrożonych środków zabezpieczających

Warto także zauważyć, że oprócz przeprowadzania audytu RODO w potocznym rozumieniu konieczne jest także przeprowadzanie audytu wdrożonych środków zabezpieczających. Obowiązek taki wynika wprost z art. 32 ust. 1 pkt d) RODO, zgodnie z którym administrator danych jest zobowiązany do regularnego testowania, mierzenia i oceniania skuteczności środków techn...

Dalsza część jest dostępna dla użytkowników z wykupionym planem