Sprawdź, jak udokumentować audyt RODO
Dokumentacja audytu zgodności z RODO nie ma prawnie przewidzianej formy ani treści. W praktyce jednak należy udokumentować fakt wykonania audytu RODO, jego przedmiot, dokonane ustalenia i poczynione zalecenia. Wymaga tego zasada rozliczalności. Dowiedz się, jak można udokumentować audyt RODO.
Dokumentacja RODO w firmie - obowiązkowa i fakultatywna
Każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. Oznacza to, że administrator danych powinien samodzielnie ocenić, czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO. Inne dokumenty – poza dotyczącymi środków zabezpieczających – jakie powinny zostać wdrożone to:
- rejestr czynności przetwarzania,
- zakres rejestru kategorii czynności przetwarzania,
- rejestr naruszeń ochrony danych,
- raport dokumentujący wyniki przeprowadzonych ocen skutków dla oceny danych.
W pozostałym zakresie nie obowiązuje żaden katalog dokumentów, które musi posiadać administrator.
Czy dokumentacja z audytu RODO jest obowiązkowa
Nie licząc dokumentów wymienionych powyżej, dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego, jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza. Wśród obowiązkowych dokumentów nie wymieniono wprawdzie raportu z audytu zgodności z RODO. Nie oznacza to jednak, że udokumentowanie audytu jest niezasadne.
Dokumentacja audytu zgodności z RODO jako środek bezpieczeństwa
Dokumentacja ochrony danych powinna opisywać w szczególności środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych. Zgodnie z art. 24 RODO „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Dlaczego należy udokumentować przeprowadzenie audytu RODO
Takim środkiem może być właśnie dokumentacja z audytu ochrony danych osobowych w organizacji. Nie jest więc ona wprost wymieniona jako obowiązkowa, niemniej jednak z uwagi na regułę rozliczalności zasadne jest udokumentowanie takiego audytu.
Samo przeprowadzenie audytu zgodności z RODO nie będzie bowiem wystarczające w razie kontroli z Urzędu Ochrony Danych Osobowych. Administrator nie będzie bowiem w stanie udowodnić, że taki audyt przeprowadził.
Dlaczego należy udokumentować przeprowadzenie audytu RODO
Jak już wskazano, RODO nie wymaga wprost prowadzenia dokumentacji odnoszącej się bezpośrednio do działań audytowych z zakresu ochrony danych osobowych. Wiemy jednocześnie, że zasadne jest udokumentowania działania audytorów.
Warto dodać, że na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam administrator musi dokonywać okresowej ogólnej oceny ryzyk zagrażających temu przetwarzania, co stanowi przedmiot typowego audytu z zakresu ochrony danych osobowych. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Obowiązek ogólnej analizy ryzyka przetwarzania danych obowiązek dotyczy każdego administratora danych osobowych, bez względu na jego wielkość czy zakres działalności.
Raport z audytu nie jest uregulowany w przepisach RODO
Dokumentacja dotycząca wewnętrznego audytu dotyczącego ochrony danych osobowych:
- nie ma ustalonej prawem formy ani treści,
- dzieli się na dokumentację wytworzoną przez administratora danych osobowych (regulacje wewnętrzne dotyczące np. częstotliwości audytu) oraz audytora (zewnętrznego lub wewnętrznego – w szczególności protokół audytu, zalecenia),
- powinna potwierdzać fakt wykonania audytu, jego przedmiotu, dokonanych ustaleń i poczynionych zaleceń.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 5 ust. 2, art. 24
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
