Obowiązujące od 25 maja 2018 roku Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku, dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, oraz w sprawie swobodnego przepływu tego rodzaju danych, uchylające dyrektywę 95/46/WE wprowadza nowe przepisy, które odnoszą się do przetwarzania danych osobowych.

W efekcie zmienił się zakres obowiązków wszystkich podmiotów, które przetwarzają dane osobowe, konieczne zatem do wprowadzenia stały się zmiany w polityce ich ochrony. Zmiany te dotyczą:

  • obowiązku opracowania oraz prowadzenia dokumentacji przetwarzania danych;
  • obowiązku monitorowania wszelkich naruszeń oraz informowania odpowiednich organów o ich pojawieniu się;
  • obowiązku analizy ryzyka celem identyfikacji rodzaju oraz zakresu środków technicznych oraz organizacyjnych, koniecznych do właściwego zabezpieczenia danych;
  • obowiązku zagwarantowania domyślnej prywatności podczas przetwarzania danych;
  • obowiązku prowadzenia rejestru czynności przetwarzania danych.

Aby przygotować firmę do funkcjonowania w nowym otoczeniu prawnym konieczna jest nie tylko znajomość nowych obowiązków, lecz często niezbędne jest również wyznaczenie struktur oraz zasobów, jakie będą je realizowały.  Jednakże nie jest możliwe osiągnięcie tego celu bez odpowiedniego określenia sytuacji wyjściowej, a zatem zinwentaryzowania posiadanych przez firmę informacyjnych zasobów, a także zanalizowania sposobów ich przetwarzania oraz ochrony.

Audyt zerowy

Profesjonalnie przeprowadzony audyt zerowy lub wstępny zgodności z RODO umożliwia poznanie stanu wyjściowego, określa faktyczne potrzeby firmy, jakie są niezbędne celem zagwarantowania bezpieczeństwa informacji. Właściwe określenie sytuacji wyjściowej stanowi bowiem bazę, w oparciu o którą można budować mechanizmy kontrolne, jakie przeciwdziałają określonym ryzykom bezpieczeństwa danych osobowych. Odpowiednio dokonana analiza procesów przetwarzania danych pod kątem prawnych wymagań jest warunkiem powodzenia całości audytu zerowego.

Co wchodzi w zakres audytu zerowego?

W ramach audytu zerowego analizowane są określone obszary, a mianowicie:

  • obowiązek wyznaczania inspektora ochrony danych;
  • istniejące procedury lub polityka bezpieczeństwa danych;
  • techniczne oraz organizacyjne środki ochrony danych osobowych, jakie są stosowane w firmie;
  • obowiązek prowadzenia rejestru czynności przetwarzania danych;
  • obowiązek i treść stosowanych klauzul zgody;
  • poprawność klauzul informacyjnych i ich dostosowanie do zwiększonego informacyjnego obowiązku;
  • wzory umów powierzenia przetwarzania danych osobowych pod kątem zgodności z RODO;
  • gotowość firmy do stosowania przepisów dotyczących profilowania, uwzględniania ochrony danych w fazie ich projektowania oraz stosowania domyślnej ochrony danych;
  • ocena świadomości pracowników odnośnie ochrony danych osobowych.

Dokonana w ramach audytu zerowego ocena pod kątem bezpieczeństwa systemów informatycznych i innych zasobów, a także poziomu przestrzegania przez personel firmy zasad ochrony danych umożliwia wskazanie obszarów, w których konieczne jest doskonalenie pod względem zgodności z RODO.

Raport z audytu

Audyt zostaje zwieńczony raportem końcowym, w którym zostają scharakteryzowane nie tylko wszelkie błędy i niedociągnięcia dotyczące bezpieczeństwa danych osobowych, lecz zostaną również zawarte zalecenia, wskazówki oraz wytyczne, jakie dotyczą dalszego postępowania, jakiego cel stanowić ma usunięcie stwierdzonych nieprawidłowości.  

Dzięki przeprowadzonemu audytowi zerowemu firma uzyska informacje dotyczące zasadności powołania inspektora ochrony danych osobowych. Wykaże on również, jakie jeszcze niezbędne czynności należy podjąć w celu pełnej zgodności z RODO.

Korzyści z audytu zerowego są wymierne:

  • stanowi on pomoc dla firmy w zidentyfikowania wszystkich niezgodności i pozwala na wdrożenie naprawczych działań;
  • podnosi poziom świadomości w całej organizacji;
  • umożliwia skupienie się na słabszych punktach organizacji, co jest pomocne w planowaniu wielu procesów;
  • pozwala na uniknięcie dodatkowych, zbędnych kosztów.

Źródło: ISecure – eksperci w ochronie danych osobowych

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *