Sprawdź, jak udokumentować przebieg audytu ochrony danych

Marcin Sarna

Autor: Marcin Sarna

Dodano: 3 sierpnia 2018
Audyt spółki
Pytanie:  Jak udokumentować przeprowadzenie audytu wewnętrznego systemu ochrony danych osobowych w firmie?
Odpowiedź: 

Dokumentacja audytu wewnętrznego systemu ochrony danych osobowych nie ma prawnie przewidzianej formy ani treści. W praktyce jednak należy udokumentować fakt wykonania audytu, jego przedmiot, dokonane ustalenia i poczynione zalecenia.

Środki zabezpieczające przetwarzanie danych

Każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. Dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza. W szczególności dokumentacja ochrony danych powinna opisywać środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych. Zgodnie z art. 24 RODO „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

Luz decyzyjny administratora

Oznacza to, że administrator danych powinien samodzielnie ocenić czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO. Inne dokumenty – poza dotyczącymi środków zabezpieczających – jakie powinny zostać wdrożone to:

  • rejestr czynności przetwarzania,
  • zakres rejestru kategorii czynności przetwarzania,
  • rejestr naruszeń ochrony danych,
  • raport dokumentujący wyniki przeprowadzonych ocen skutków dla oceny danych.

Audyt ma służyć ogólnej ocenie ryzyka przetwarzania danych

RODO nie wymaga zatem prowadzenia dokumentacji odnoszącej się bezpośrednio do działań audytowych z zakresu ochrony danych osobowych. Nie oznacza to jednak, że w wyniku działania audytorów nie muszą powstać żadne dokumenty. RODO przewiduje bowiem tzw. ogólną ocenę ryzyka przetwarzania danych osobowych. Chodzi tu o obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie są ich rodzaje. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam administrator musi dokonywać okresowej ogólnej oceny ryzyk zagrażających temu przetwarzania, co stanowi przedmiot typowego audytu z zakresu ochrony danych osobowych. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Uwaga

Obowiązek ogólnej oceny ryzyka przetwarzania danych obowiązek dotyczy każdego administratora danych osobowych, bez względu na jego wielkość czy zakres działalności.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, pod warunkiem, że pozwoli ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.

Reasumując …

Dokumentacja dotycząca wewnętrznego audytu dotyczącego ochrony danych osobowych:

  • nie ma ustalonej prawem formy ani treści,
  • dzieli się na dokumentację wytworzoną przez administratora danych osobowych (regulacje wewnętrzne dotyczące np. częstotliwości audytu) oraz audytora (zewnętrznego lub wewnętrznego – w szczególności protokół audytu, zalecenia),
  • powinna potwierdzać fakt wykonania audytu, jego przedmiotu, dokonanych ustaleń i poczynionych zaleceń.
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x