Dokumentacja audytu zgodności z RODO nie ma prawnie przewidzianej formy ani treści. W praktyce jednak należy udokumentować fakt wykonania audytu RODO, jego przedmiot, dokonane ustalenia i poczynione zalecenia. Wymaga tego zasada rozliczalności. Dowiedz się, jak można udokumentować audyt RODO.
Każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. Oznacza to, że administrator danych powinien samodzielnie ocenić, czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO. Inne dokumenty – poza dotyczącymi środków zabezpieczających – jakie powinny zostać wdrożone to:
W pozostałym zakresie nie obowiązuje żaden katalog dokumentów, które musi posiadać administrator.
Nie licząc dokumentów wymienionych powyżej, dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego, jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza. Wśród obowiązkowych dokumentów nie wymieniono wprawdzie raportu z audytu zgodności z RODO. Nie oznacza to jednak, że udokumentowanie audytu jest niezasadne.
Dokumentacja ochrony danych powinna opisywać w szczególności środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych. Zgodnie z art. 24 RODO „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Takim środkiem może być właśnie dokumentacja z audytu ochrony danych osobowych w organizacji. Nie jest więc ona wprost wymieniona jako obowiązkowa, niemniej jednak z uwagi na regułę rozliczalności zasadne jest udokumentowanie takiego audytu.
Samo przeprowadzenie audytu zgodności z RODO nie będzie bowiem wystarczające w razie kontroli z Urzędu Ochrony Danych Osobowych. Administrator nie będzie bowiem w stanie udowodnić, że taki audyt przeprowadził.
Jak już wskazano, RODO nie wymaga wprost prowadzenia dokumentacji odnoszącej się bezpośrednio do działań audytowych z zakresu ochrony danych osobowych. Wiemy jednocześnie, że zasadne jest udokumentowania działania audytorów.
Warto dodać, że na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam administrator musi dokonywać okresowej ogólnej oceny ryzyk zagrażających temu przetwarzania, co stanowi przedmiot typowego audytu z zakresu ochrony danych osobowych. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Obowiązek ogólnej analizy ryzyka przetwarzania danych obowiązek dotyczy każdego administratora danych osobowych, bez względu na jego wielkość czy zakres działalności.
Dokumentacja dotycząca wewnętrznego audytu dotyczącego ochrony danych osobowych:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
