iSecure logo
Blog

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje swoje początkowe wdrożenie. Przy tej okazji warto odnotować, że widoczna jest bardziej odpowiedzialna postawa biznesu wobec ochrony danych osobowych, choć wciąż nierzadko spotykane jest podejście traktujące wymóg stosowania RODO jako kolejny obowiązek generujący wyłącznie koszty. Stąd też po niektórych wdrożeniach widać wyraźnie, że były przeprowadzane po linii najmniejszego oporu, są w dużej mierze powierzchowne i wykonane raczej żeby “coś było”, niż żeby rzeczywiście dostosować swoje procesy biznesowe do zasad ochrony danych osobowych. Rzecz w tym, że sam audyt RODO, a po nim wdrożenie, rodzą liczne pozytywne skutki dla całej firmy, nie tylko w zakresie spełnienia kolejnego wymogu prawnego. 

 

Po pierwsze audyt

Pierwszym krokiem do wdrożenia musi być audyt. Im dokładniejszy i głębszy, tym lepsze da efekty. Audyt przeprowadzony pod kątem ochrony danych to jednak nie wycinkowe badanie organizacji pod mikroskopem, tylko przypomina bardziej kompleksową tomografię całego organizmu, w szeregu jego kluczowych aspektów. Wieloletni selekcjoner hiszpańskiej reprezentacji w piłce nożnej Vincente del Bosque zapytany o piłkarza Sergio Busquetsa powiedział kiedyś “kiedy oglądasz mecz, nie widzisz Busquetsa, ale kiedy patrzysz na Busquetsa widzisz cały mecz”. Podobna sytuacja ma miejsce z ochroną danych osobowych – kiedy patrzysz na konkretną działalność gospodarczą nie widzisz przetwarzania danych osobowych, ale jeśli patrzysz na przetwarzanie tych danych, to widzisz cały biznes. Audyt przedwdrożeniowy jest jak drobiazgowy obchód całej firmy śledząc obieg danych osobowych, od momentu ich zebrania, poprzez wszystkie etapy przetwarzania w poszczególnych działach i komórkach, aż po miejsca udostępniania ich dalej lub długoterminowego przechowywania. W trakcie tych czynności można poznać niemal każdy proces biznesowy, przyjrzeć się organizacji firmy i obiegowi dokumentów, zobaczyć, gdzie praca przebiega płynnie i skutecznie, gdzie pojawiają się zatory lub problemy komunikacyjne, gdzie występują deficyty sprzętowe, a gdzie procedury są przestarzałe. 

 

Wykopaliska sekcji archeo

Porządny audyt RODO jest jak praca na stanowisku archeologicznym – trzeba kopać głęboko i dokładnie. W grę wchodzi przejrzenie setek stron dokumentów – formularzy rekrutacyjnych, polityk prywatności na stronie internetowej, wewnętrznych procedur HRowych, umów z pracownikami, współpracownikami, dostawcami, partnerami i klientami, polityk bezpieczeństwa i korzystania ze sprzętu komputerowego, narzędzi i aplikacji używanych do przechowywania danych, marketingu, komunikacji, przegląd rejestru umów pisemnych, dokumentacji pracowniczej czy księgowości. To także wizja lokalna w przypadku kontroli prawidłowości zastosowania monitoringu, używania zdjęć przy identyfikatorach służbowych, kontroli wejścia i wyjścia z budynku firmy i wiele innych. 

 

Przy okazji tak wykonanego audytu można dowiedzieć się wielu rzeczy o przedsiębiorstwie. Można np. odkryć, że przechowuje się całe szafy zbędnej dokumentacji, którą dawno powinno się już zniszczyć, albo że marnuje się roboczogodziny na pozyskiwanie i przetwarzanie danych, które nie są nikomu do niczego potrzebne, ale “zawsze się tak robiło”. Przegląd umów pod kątem przetwarzania danych nierzadko uświadamia rzeczy, które w codziennej pracy umykają np. że opłaca się faktury za usługi, z których się już dawno nie korzysta lub można zmienić je na tańsze i nowocześniejsze. Audyt procedur i narzędzi może wykazać, że w firmie stosowane są różne aplikacje i programy o takim samym zastosowaniu w różnych działach i aż prosi się, żeby je uporządkować i ujednolicić udrażniając tym obieg informacji w całej organizacji. Nierzadko też w trakcie audytu rzucają się w oczy deficyty sprzętowe i przestarzałe procedury, które niewielkim nakładem sił i środków oraz przy zastosowaniu nowoczesnych rozwiązań, mogą być szybko naprawione. Można więc w skrócie powiedzieć, że audyt RODO jest dobrą okazją do otwarcia okien i przewietrzenia tych obszarów organizacji, gdzie już od dawna było duszno. 

 

Impuls modernizacyjny

Przeprowadzenie audytu ułatwia przy okazji uporządkowanie i aktualizację dokumentacji firmy. To dobry moment żeby zrezygnować z niepotrzebnych usług, uzupełnić umowy z klientami o niezbędne aneksy, uporządkować rejestry dokumentów, usystematyzować i zaktualizować procedury. Wiedza uzyskana w trakcie rzetelnego audytu RODO może także stanowić punkt wyjściowy do podjęcia decyzji modernizacyjnych w sferze organizacyjnej, infrastruktury technicznej czy procedur i polityk wewnętrznych. To z kolei przełoży się na lepsze funkcjonowanie całej organizacji, a zastosowanie nowoczesnych narzędzi i procedur może nawet dać przewagę nad rynkową konkurencją, która pozostanie w tyle bazując na przestarzałych rozwiązaniach. Pierwszym i najważniejszym efektem audytu jest oczywiście pełne i dobrze wykonane wdrożenie RODO, które z pewnością będzie odczuwalne zarówno dla klientów jak i biznesowych partnerów. Rzetelne i profesjonalne zastosowanie przepisów o ochronie danych może być więc elementem budowy wizerunku firmy i cechą, która będzie ją wyróżniać na rynku. 

 

W tym kontekście dokumentacja wdrożeniowa RODO stworzona po rzetelnym audycie jest jak garnitur szyty na miarę, z odpowiednich materiałów, po kilku przymiarkach i poprawkach tak, że nie tylko dobrze prezentuje się na zdjęciach, ale jest także wygodny i funkcjonalny. Inaczej niż parę klauzul i rejestrów stworzonych naprędce po powierzchownym przeglądzie, które można porównać do garnituru kupionego przez internet bez przymierzania – może na pierwszy rzut oka jakoś wygląda, ale problem pojawi się, jak trzeba będzie w nim zatańczyć.

Podobne wpisy:

Co było pierwsze, proces czy cel?

W świecie ciągłej rywalizacji o klienta, zmieniających się przepisów i powstawaniu nowych technologii odmieniających nasz styl życia, które mają na celu polepszyć nam jego jakość, przedsiębiorcy muszą mierzyć się z ciągłą modyfikacją procesów, adaptacją i tworzeniem nowych usług. Mając na uwadze, jak wiele decyzji musi zostać podjętych przez biznes i jak szybko trzeba reagować na […]

Badanie temperatury zgodne z RODO – COVID-19

Wielu pracodawców ma ogromny problem z tym, czy można badać temperaturę pracownikom (i co z przetwarzaniem danych osobowych z tym związanym). Pytanie takie w dobie pandemii koronawirusa pada niezwykle często. Widzimy potrzebę zebrania w jednym miejscu odpowiedzi na kluczowe problemy, z jakimi spotykają się pracodawcy, a szczególnie Działy HR. Dlatego opracowaliśmy dla Was serię pytań […]

„Zgłoś incydent!” iSecure z pomocą w analizie naruszeń ochrony danych osobowych

Ktoś z Twojej organizacji udostępnił przypadkiem wezwanie do zapłaty niewłaściwemu odbiorcy? A może wysłałeś e-mailem ważne dokumenty do wielu odbiorców spoza firmy i zapomniałeś o skorzystaniu z opcji UDW? Mam dla Ciebie złą wiadomość – najprawdopodobniej doszło do naruszenia ochrony danych osobowych. Taki incydent wymaga dogłębnej analizy, ponieważ na przedsiębiorcy ciąży szereg obowiązków związanych z […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki