Audyt RODO – obowiązkowy w myśl z art. 24 ust. 1 i art. 32 ust. 1 lit d)

Audyt RODOCykliczne wykonywanie sprawdzeń (audyt RODO) i przeglądów jest w myśl RODO obowiązkowe i wynika wprost z art. 24 ust. 1, art. 32 ust. 1 lit d)  a także z motywu (39). Dodatkowo, jest to jeden z głównych obowiązków wyznaczonego w organizacji Inspektora Ochrony Danych (art. 39 ust. 1 lit. b). Audyty rodo funkcjonują obecnie jako audyty wstępne i cykliczne. Wstępne wykonuje się przeważnie rozpoczynając proces wdrażania zasad ochrony danych, a cykliczne w związku z przytoczonymi powyżej artykułami Rozporządzenia.

Należy zatem przeanalizować i ocenić, jak często mają być wykonywane audyty RODO. Biorąc pod uwagę przyjęte standardy norm światowych ISO w zakresie bezpieczeństwa informacji a także standardy ochrony informacji ustalone w ustawie KRI – można przyjąć, że poprawnym będzie:

  • wykonywać cykliczne przeglądy roczne – w zakresie wybranych czynności i procesów przetwarzania danych np. jedna czynność z Rejestru Czynności Przetwarzania czy jeden proces np. szkolenia;
  • wykonywać zewnętrzne audyty RODO, raz na trzy lata.

Audyt RODO

Nasze Centrum, może wykonywać dla Państwa audyty wstępne, cykliczne jak i pełne, kompleksowe audyty rodo. W tych procesach wykorzystujemy:

  • Wytyczne Europejskiej Rady Ochrony Danych (EROD) 1/2018 dotyczące certyfikacji i określania kryteriów certyfikacji zgodnie z artykułami 42 i 43 rozporządzenia 2016/679;
  • Normę PN-EN ISO/IEC 17065:2012 – Ocena zgodności. Wymagania dla jednostek certyfikujących wyroby, procesy i usługi;
  • Normę PN-EN ISO/IEC 29151:2017 – Technika Informatyczna. Techniki bezpieczeństwa. Praktyczne zasady ochrony informacji o identyfikowalnych osobach.

Cena za wykonanie audytu RODO są różne i wynikają przede wszystkim z wielkości badanego podmiotu, ale tą wielkość należy rozumieć różnie. Dla fabryki, która zatrudnia 5000 osób na produkcji ale wykonuje tylko kilka czynności przetwarzania cena będzie o wiele niższa niż dla sklepu internetowego, prowadzonego na zasadach działalności gospodarczej i zatrudniającego 50 osób. Koszt audytu waha się w przedziale od 2 500 do 30 000 zł netto, zapraszamy do wypełnienia formularza indywidualnej wyceny.

______
*) KRI – Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Procedura audytu RODO (np. wykonywanego rocznie)

Przegląd zabezpieczeń technicznych

Zaprezentuj audytorowi wdrożone zabezpieczenia techniczne dotyczące sprawdzanego procesu i pozwól zebrać dowody audytowe

Przygotowanie

Na podstawie podpisanej umowy i rocznego planu przeglądów, omawiamy czynności przetwarzania danych w organizacji i wybieramy procesy do audytu

Przegląd zabezpieczeń informatycznych

Zorganizuj spotkanie audytora z wewnętrznym lub zewnętrznym IT w celu sprawdzenia zabezpieczeń informatycznych w procesie

Przegląd dokumentacji

Umów wizytę audytora w celu dokonania przeglądu wybranego procesu. Pracę zawsze rozpoczynamy od sprawdzenia dokumentacji

Raport

Maksymalnie po 30 dniach od zakończenia audytu – przedstawiamy raport i rekomendacje.

Protokół z przeprowadzenia audytu zawiera wszystkie niezbędne elementy potrzebne do identyfikacji zagrożeń, wraz ze wskazaniem jakie akcje należy podjąć (środki zaradcze) w celu dostosowania sprawdzanego procesu do wymagań RODO.

Cykliczne sprawdzenie może być też składową Audytu Certyfikującego.