Plan audytu ochrony danych - PDPS - Program do RODO

Plan audytu ochrony danych

Plan audytu ochrony danych

Jednym z obowiązków Inspektora Ochrony Danych wskazanym w Art. 39 lit. b) RODO jest  monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych (…) powiązane z tym audyty. Jeżeli zastanawiasz się jak sporządzić taki dokument to ten artykuł jest dla Ciebie.

Czy tylko plan?

W naszej opinii dobrze taki dokument potraktować jako planowanie audytu ale również innych powiązanych działań związanych z ochroną danych osobowych w organizacji. Taki jak:

  • Proces analizy ryzyka naruszenia praw i wolności osób fizycznych art. 35 RODO
  • Proces szacowania ryzyka dotyczących środków bezpieczeństwa art. 32 RODO
  • Inwentaryzacja zasobów danych np. w formie wniosków dotyczących czynności przetwarzania danych osobowych

Kryteria i zakres audytu

Oczywiście podstawowymi kryteriami audytu będą przepisy o ochronie danych osobowych, jednakże nie zapomnijmy również o właściwych przepisach sektorowych oraz politykach ochrony danych wdrożonych w organizacji (art. 24 RODO). Przykładowe kryteria mogą wyglądać następująco:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej zwane „RODO”;
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) dalej zwana „ustawa”;  
  • Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • Wewnętrzne polityki ochrony danych wdrożone przez administratora.

Przejdźmy teraz do zakresu audytu, na pewno audyt można wykonywać na dwa sposoby:

  • Sprawdzając poszczególne czynności przetwarzania (niegdyś zbiory) – pytanie kto w danej organizacji odpowiada za przekazywanie i aktualizowanie poszczególnych czynności oraz czy wskazano właścicieli tych czynności.
  • Opierając zakres audytu na obowiązkach wynikających z RODO np. przy użyciu artykułów

Co należy sprawdzić

Zdecydujmy się na wskazanie zakresu audytu jako poszczególnych obowiązków i artykułów w RODO. Można wymienić następujące czynności:

  • Ocena procesu zbierania danych osobowych i realizacji obowiązków informacyjnych 
    • Artykuł 5 RODO – Zasady przetwarzania danych
    • Artykuł 6 RODO – Zgodność przetwarzania z prawem
    • Artykuł 7 RODO – Warunki wyrażenia zgody
    • Artykuł 13 RODO – Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą;
    • Artykuł 14 RODO – Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą;
  • Badanie aktualności, adekwatności polityk ochrony danych (artykuł 24 RODO)
  • Analiza procesu powierzenia przetwarzania danych osobowych i współpracy z podmiotami przetwarzającymi
    • Artykuł 28 RODO – Podmiot przetwarzający
  • Badanie stanu zabezpieczeni danych osobowych i procesu analizy ryzyka
    • Artykuł 32 RODO – Środki techniczne, organizacyjne i fizyczne dla ochrony danych
  • Przegląd i analiza rejestrów czynności przetwarzania
    • Artykuł 30 ust. 1 – Rejestrowanie czynności przetwarzania;
    • Artykuł 30 ust. 2 – Rejestrowanie kategorii czynności przetwarzania.
  • Realizacja oceny skutków dla ochrony danych
    • Artykuł 35 – Ocena skutków dla ochrony danych

Okres i odpowiedzialności

Oczywiście dokument planu audytu powinien wskazywać również w jakim czasookresie audyt zostanie wykonany, oczywiście w zależności od wielkości danej organizacji i wskazanego zakresu. Poprzednie przepisy ochrony danych osobowych wskazywały, że podobny plan nie powinien zakładać okresu krótszego niż jeden kwartał i dłuższego niż rok. Może to być dla nas pewnego rodzaju wskazówka.

Podsumowanie

Oczywiście skonsultuj plan z zainteresowanymi stronami, które będą uczestniczyły w audycie w zależności od branży poszczególne kwartały w roku mogą powodować mniejsze lub większe utrudnienia w realizacji audytów. Przedstaw plan do akceptacji i podpisu administratora, życzymy owocnych ustaleń.