iSecure logo
Blog

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje swoje początkowe wdrożenie. Przy tej okazji warto odnotować, że widoczna jest bardziej odpowiedzialna postawa biznesu wobec ochrony danych osobowych, choć wciąż nierzadko spotykane jest podejście traktujące wymóg stosowania RODO jako kolejny obowiązek generujący wyłącznie koszty. Stąd też po niektórych wdrożeniach widać wyraźnie, że były przeprowadzane po linii najmniejszego oporu, są w dużej mierze powierzchowne i wykonane raczej żeby “coś było”, niż żeby rzeczywiście dostosować swoje procesy biznesowe do zasad ochrony danych osobowych. Rzecz w tym, że sam audyt RODO, a po nim wdrożenie, rodzą liczne pozytywne skutki dla całej firmy, nie tylko w zakresie spełnienia kolejnego wymogu prawnego. 

 

Po pierwsze audyt

Pierwszym krokiem do wdrożenia musi być audyt. Im dokładniejszy i głębszy, tym lepsze da efekty. Audyt przeprowadzony pod kątem ochrony danych to jednak nie wycinkowe badanie organizacji pod mikroskopem, tylko przypomina bardziej kompleksową tomografię całego organizmu, w szeregu jego kluczowych aspektów. Wieloletni selekcjoner hiszpańskiej reprezentacji w piłce nożnej Vincente del Bosque zapytany o piłkarza Sergio Busquetsa powiedział kiedyś “kiedy oglądasz mecz, nie widzisz Busquetsa, ale kiedy patrzysz na Busquetsa widzisz cały mecz”. Podobna sytuacja ma miejsce z ochroną danych osobowych – kiedy patrzysz na konkretną działalność gospodarczą nie widzisz przetwarzania danych osobowych, ale jeśli patrzysz na przetwarzanie tych danych, to widzisz cały biznes. Audyt przedwdrożeniowy jest jak drobiazgowy obchód całej firmy śledząc obieg danych osobowych, od momentu ich zebrania, poprzez wszystkie etapy przetwarzania w poszczególnych działach i komórkach, aż po miejsca udostępniania ich dalej lub długoterminowego przechowywania. W trakcie tych czynności można poznać niemal każdy proces biznesowy, przyjrzeć się organizacji firmy i obiegowi dokumentów, zobaczyć, gdzie praca przebiega płynnie i skutecznie, gdzie pojawiają się zatory lub problemy komunikacyjne, gdzie występują deficyty sprzętowe, a gdzie procedury są przestarzałe. 

 

Wykopaliska sekcji archeo

Porządny audyt RODO jest jak praca na stanowisku archeologicznym – trzeba kopać głęboko i dokładnie. W grę wchodzi przejrzenie setek stron dokumentów – formularzy rekrutacyjnych, polityk prywatności na stronie internetowej, wewnętrznych procedur HRowych, umów z pracownikami, współpracownikami, dostawcami, partnerami i klientami, polityk bezpieczeństwa i korzystania ze sprzętu komputerowego, narzędzi i aplikacji używanych do przechowywania danych, marketingu, komunikacji, przegląd rejestru umów pisemnych, dokumentacji pracowniczej czy księgowości. To także wizja lokalna w przypadku kontroli prawidłowości zastosowania monitoringu, używania zdjęć przy identyfikatorach służbowych, kontroli wejścia i wyjścia z budynku firmy i wiele innych. 

 

Przy okazji tak wykonanego audytu można dowiedzieć się wielu rzeczy o przedsiębiorstwie. Można np. odkryć, że przechowuje się całe szafy zbędnej dokumentacji, którą dawno powinno się już zniszczyć, albo że marnuje się roboczogodziny na pozyskiwanie i przetwarzanie danych, które nie są nikomu do niczego potrzebne, ale “zawsze się tak robiło”. Przegląd umów pod kątem przetwarzania danych nierzadko uświadamia rzeczy, które w codziennej pracy umykają np. że opłaca się faktury za usługi, z których się już dawno nie korzysta lub można zmienić je na tańsze i nowocześniejsze. Audyt procedur i narzędzi może wykazać, że w firmie stosowane są różne aplikacje i programy o takim samym zastosowaniu w różnych działach i aż prosi się, żeby je uporządkować i ujednolicić udrażniając tym obieg informacji w całej organizacji. Nierzadko też w trakcie audytu rzucają się w oczy deficyty sprzętowe i przestarzałe procedury, które niewielkim nakładem sił i środków oraz przy zastosowaniu nowoczesnych rozwiązań, mogą być szybko naprawione. Można więc w skrócie powiedzieć, że audyt RODO jest dobrą okazją do otwarcia okien i przewietrzenia tych obszarów organizacji, gdzie już od dawna było duszno. 

 

Impuls modernizacyjny

Przeprowadzenie audytu ułatwia przy okazji uporządkowanie i aktualizację dokumentacji firmy. To dobry moment żeby zrezygnować z niepotrzebnych usług, uzupełnić umowy z klientami o niezbędne aneksy, uporządkować rejestry dokumentów, usystematyzować i zaktualizować procedury. Wiedza uzyskana w trakcie rzetelnego audytu RODO może także stanowić punkt wyjściowy do podjęcia decyzji modernizacyjnych w sferze organizacyjnej, infrastruktury technicznej czy procedur i polityk wewnętrznych. To z kolei przełoży się na lepsze funkcjonowanie całej organizacji, a zastosowanie nowoczesnych narzędzi i procedur może nawet dać przewagę nad rynkową konkurencją, która pozostanie w tyle bazując na przestarzałych rozwiązaniach. Pierwszym i najważniejszym efektem audytu jest oczywiście pełne i dobrze wykonane wdrożenie RODO, które z pewnością będzie odczuwalne zarówno dla klientów jak i biznesowych partnerów. Rzetelne i profesjonalne zastosowanie przepisów o ochronie danych może być więc elementem budowy wizerunku firmy i cechą, która będzie ją wyróżniać na rynku. 

 

W tym kontekście dokumentacja wdrożeniowa RODO stworzona po rzetelnym audycie jest jak garnitur szyty na miarę, z odpowiednich materiałów, po kilku przymiarkach i poprawkach tak, że nie tylko dobrze prezentuje się na zdjęciach, ale jest także wygodny i funkcjonalny. Inaczej niż parę klauzul i rejestrów stworzonych naprędce po powierzchownym przeglądzie, które można porównać do garnituru kupionego przez internet bez przymierzania – może na pierwszy rzut oka jakoś wygląda, ale problem pojawi się, jak trzeba będzie w nim zatańczyć.

Podobne wpisy:

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Jak stworzyć stronę internetową zgodną z RODO? Część 1 – regulaminy.

Zajmując się doradztwem z zakresu ochrony danych osobowych na pewno weryfikowaliście klauzule informacyjne, opiniowaliście umowy powierzenia czy wykonywaliście audyt funkcjonującej strony internetowej. Co jednak możemy zrobić, gdy takiej strony nie ma, a dopiero powstaje? Mam nadzieję, że poniższy artykuł pozwoli uporządkować zawartość dokumentów, w których przedsiębiorca powinien zamieścić odpowiednie obowiązki informacyjne, nakazane przepisami prawa.   […]

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Dane biometryczne Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka […]

Kurs ochrony danych osobowych przez e-mail

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki