Zadania IOD w zakresie przeprowadzania audytów

Należy zwrócić uwagę, że wśród zadań IOD związanych z monitorowaniem przestrzegania przepisów RODO, pojawia się także konieczność sporządzania audytów. Kwestia ta jest o tyle istotna, że przepisy obowiązujące przed wejściem w życie RODO zobowiązywały administratora bezpieczeństwa informacji (ABI) do przeprowadzania planowych sprawdzeń, które ABI powinien przeprowadzać według planu sprawdzeń obejmującego okres nie krótszy niż kwartał i nie dłuższy niż rok. Takie plany sprawdzeń były standardem w wielu organizacjach i wydaje się, że na gruncie przepisów RODO kontynuacja tej praktyki jest korzystna. Co prawda Prezes Urzędu Ochrony Danych (dalej: PUODO) w swoim komunikacie umieszczonym na stronie internetowej pt.: „Czy IOD powinien sporządzić plan audytów?” z dnia 1 lutego 2021 r., wskazuje, że „w aktualnym stanie prawnym nie ma przepisów, które wprost i jednakowo dla wszystkich wskazywałyby okres, na jaki należy opracować plan audytów. Niemniej, aby prawidłowo realizować zadanie z art. 39 ust. 1 lit. b RODO, warto planować swoje działania, tj. posiadać plan audytów”1. W tej sytuacji w ramach monitorowania przepisów RODO, IOD powinien rozważyć sporządzanie planu audytów w organizacji, w której wykonuje swoje funkcje, i przeprowadzanie okresowo takich audytów.

Wnioski z tych audytów mogą przyczynić się do wydania zaleceń dotyczących bieżącego funkcjonowania administratora danych i poprawy standardu ochrony danych osobowych. Warto zwrócić uwagę, że w powołanym komunikacie PUODO wskazano, że „sporządzając plan audytów, warto przemyśleć takie jego elementy, jak: częstotliwość przeprowadzania, metody, kryteria i zakres poszczególnych audytów (w zależności od obszaru poddawanego ocenie), tryb uruchamiania audytów, zasady i sposób jego dokumentowania (w tym czas przechowywania raportu z audytu), zasady i sposób raportowania jego wyników. Tr...

Dalsza część jest dostępna dla użytkowników z wykupionym planem