Audyt wewnętrzny RODO powinien uwzględniać:
1. Zarządzanie organizacją – audyt wewnętrzny RODO
Zgodnie z rozporządzeniem RODO dane osobowe muszą być przetwarzane z uwzględnieniem poniższych zasad:
- zgodności z prawem, rzetelności i przejrzystości,
- ograniczenia celu przetwarzania danych,
- minimalizacji danych,
- prawidłowości danych,
- ograniczenia przechowania danych,
- integralności i poufności danych,
- rozliczalności.
Opierają się one na zasadzie odpowiedzialności. Będąc przedsiębiorcą stajesz się administratorem danych i musisz prowadzić pewne rejestry w celu wykazania zgodności z przepisami o ochronie danych osobowych.
Audyt powinien obejmować swoim zakresem polityki, procedury, system nadzoru oraz odpowiedzialność za ochronę danych w całej organizacji.
2. Zarządzanie ryzykiem – audyt wewnętrzny RODO
RODO wymaga, aby organizacje stosowały podejście oparte na ryzyku w celu wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczeń. W pewnych okolicznościach obejmuje to przeprowadzanie DPIA (ocen skutków dla ochrony danych) – rodzaju oceny ryzyka, która identyfikuje ryzyko i prawdopodobne skutki przetwarzania dla bezpieczeństwa danych osobowych.
Audyt wewnętrzny RODO powinien zbadać również czy system zarządzania bezpieczeństwem informacji swoim zakresem obejmuje analizę zagrożenia dla praw i wolności osób fizycznych.
3. Audyt przetwarzania danych osobowych w całej organizacji – audyt wewnętrzny RODO
Bez wsparcia na poziomie zarządu firmy przeprowadzenie audytu zgodności z RODO będzie bardzo trudne lub wręcz nie możliwe do przeprowadzenia. Zapewnienie zgodność z RODO wymaga wparcia w całej organizacji i musi być prowadzone na wszystkich jej szczeblach.
Audyt ochrony danych powinien zbadać także , w jakim stopniu odpowiednio obsadzony, finansowany i wspierany jest sam projekt pt. Audyt wewnętrzny RODO oraz czy jego organizacja zezwala na skuteczną realizację i wspiera zdolność organizacji do osiągnięcia zakładanych celów związanych z ochroną danych osobowych.
4. Inspektor ochrony danych (IOD) – audyt wewnętrzny RODO
RODO wymaga wyznaczenia IOD:
- w przypadku gdy przetwarzanie jest przeprowadzane przez organ lub podmiot publiczny;
- w przypadku gdy podstawowa działalność organizacji wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- w przypadku gdy podstawowa działalność organizacji obejmuje przetwarzanie na dużą skalę wrażliwych danych osobowych lub danych związanych z wyrokami skazującymi lub przestępstwami.
W wielu przypadkach pożądane jest wyznaczenie IOD niezależnie od powyższego wymogu prawnego. Inspektor Ochrony Danych ma taki sam status prawny, niezależnie od tego, czy powoływany jest dobrowolnie, czy obowiązkowo.
Audyt wewnętrzny RODO powinien ustalić, czy Inspektor Ochrony Danych powinien zostać powołany i czy został wyznaczony. Jeśli IOD został powołany, audyt wewnętrzny RODO powinien również zbadać, czy rola jest odpowiednio ustawiona w organizacji, a dana osoba jest w stanie spełnić wymagania rozporządzenia.
5. Role i zakresy obowiązków pracowników – audyt wewnętrzny RODO
Audyt wewnętrzny RODO powinien zbadać zakresy, w jakich role i obowiązki pracowników są definiowane i ustalane w całej organizacji, oraz stosowane środki szkoleniowe i uświadamiające tematykę ochrony danych. Weryfikacji powinno podlegać również rzeczywiste odwzorowanie ról i zakresów obowiązków na procesy pracy, a także weryfikacja procesów onboardingu i offboardingu pracowników.
6. Analiza procesów pracy – audyt wewnętrzny RODO
Artykuł 30 ROD nakłada na firmy obowiązek prowadzenia rejestrów wszystkich czynności przetwarzania, za które są odpowiedzialni.
Audyt wewnętrzny RODO powinien zbadać te zapisy w celu określenia zakresu, w jakim każda z zasad przetwarzania danych została ustanowiona dla każdego procesu pracy, który obejmuje dane osobowe. Analiza ta powinna brać pod uwagę podstawy prawne przetwarzania, oraz weryfikować dla których procesów ocena skutków dla ochrony danych z angielskiego Data Protection Impact Assessment (DPIA) jest obowiązkowa, a dla których może pomóc w ustanowieniu ochrony danych już w trakcie projektowania i domyślnej ochrony danych.
7. System zarządzania ochroną danych osobowych – audyt wewnętrzny RODO
Wykazanie zgodności z RODO wymaga udowodnienia stosowania procesów ochrony, a także ich udokumentowania w postaci polityki ochrony danych osobowych, procedury powiadamiania o naruszeniu danych, instrukcji, procedur, wniosków o dostęp do danych, dokumentacji przeprowadzenia procesów DPIA, klauzul zgód i wielu innych. Skala procesów ochrony i dokumentacji powinna być dostosowana do wielkości i złożoności organizacji. System zarządzania danymi osobowymi powinien uwzględniać procesy szkoleniowe i uświadamiające dla pracowników i kontrahentów uczestniczących w procesach przetwarzania danych.
8. System zarządzania bezpieczeństwem informacji – audyt wewnętrzny RODO
Audyt wewnętrzny RODO w firmie musi zbadać czy istniejące środki techniczne i organizacyjne zapewniają odpowiedni poziom bezpieczeństwa danych osobowych przetwarzanych w formie papierowej, elektronicznej w systemach informatycznych przedsiębiorstwa. Powinno to obejmować przegląd metodologii testowania bezpieczeństwa oraz ustanowione standardy i kodeksy postępowania w zakresie bezpieczeństwa cybernetycznego. Z pomocą w określeniu wymagań odnośnie firmowego SZBI przychodzi międzynarodowa norma ISO 27001 oraz ewentualna certyfikacja w celu wykazania zgodności.
9. Prawa osób, których dane dotyczą – audyt wewnętrzny RODO
Zgodnie z RODO osoby, których dane dotyczą, mają następujące prawa:
- prawo dostępu do danych
- prawo do sprostowania i usunięcia danych,
- prawo do ograniczenia przetwarzania,
- prawo do przenoszenia danych,
- prawo do złożenia sprzeciwu na przetwarzanie danych,
- szczególne uprawnienia związane z procesami zautomatyzowanego przetwarzania danych (w tym profilowaniem)
Proces audytu wewnętrznego RODO swoim zakresem powinien objąć także weryfikację w jakim stopniu firma wdrożyła procesy, które umożliwiają zarówno ułatwianie korzystania z tych praw, jak i reagowanie na nie osobom, których dane dotyczą.
10. Zakres zgodności z RODO
Istotne jest, aby zakres zgodności z RODO został jasno określony w wynikach audytu.
Końcowa ocena zgodności z wymaganiami RODO powinna uwzględniać wszystkie procesy przetwarzanie danych, w których organizacja działa jako administrator danych lub jako podmiot przetwarzający, a także wszelkie działania związane z udostępnianiem danych. Aby określić zakres zgodności, należy zidentyfikować wszystkie zbiory danych, w których przetwarzania są dane osobowe, wszystkie czynności przetwarzania oraz wszelkie przetwarzanie eksterytorialne/transgraniczne. Audyt systemu ochrony danych osobowych powinien szczegółowo zbadać te działania.