iSecure logo
Blog

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje swoje początkowe wdrożenie. Przy tej okazji warto odnotować, że widoczna jest bardziej odpowiedzialna postawa biznesu wobec ochrony danych osobowych, choć wciąż nierzadko spotykane jest podejście traktujące wymóg stosowania RODO jako kolejny obowiązek generujący wyłącznie koszty. Stąd też po niektórych wdrożeniach widać wyraźnie, że były przeprowadzane po linii najmniejszego oporu, są w dużej mierze powierzchowne i wykonane raczej żeby “coś było”, niż żeby rzeczywiście dostosować swoje procesy biznesowe do zasad ochrony danych osobowych. Rzecz w tym, że sam audyt RODO, a po nim wdrożenie, rodzą liczne pozytywne skutki dla całej firmy, nie tylko w zakresie spełnienia kolejnego wymogu prawnego. 

 

Po pierwsze audyt

Pierwszym krokiem do wdrożenia musi być audyt. Im dokładniejszy i głębszy, tym lepsze da efekty. Audyt przeprowadzony pod kątem ochrony danych to jednak nie wycinkowe badanie organizacji pod mikroskopem, tylko przypomina bardziej kompleksową tomografię całego organizmu, w szeregu jego kluczowych aspektów. Wieloletni selekcjoner hiszpańskiej reprezentacji w piłce nożnej Vincente del Bosque zapytany o piłkarza Sergio Busquetsa powiedział kiedyś “kiedy oglądasz mecz, nie widzisz Busquetsa, ale kiedy patrzysz na Busquetsa widzisz cały mecz”. Podobna sytuacja ma miejsce z ochroną danych osobowych – kiedy patrzysz na konkretną działalność gospodarczą nie widzisz przetwarzania danych osobowych, ale jeśli patrzysz na przetwarzanie tych danych, to widzisz cały biznes. Audyt przedwdrożeniowy jest jak drobiazgowy obchód całej firmy śledząc obieg danych osobowych, od momentu ich zebrania, poprzez wszystkie etapy przetwarzania w poszczególnych działach i komórkach, aż po miejsca udostępniania ich dalej lub długoterminowego przechowywania. W trakcie tych czynności można poznać niemal każdy proces biznesowy, przyjrzeć się organizacji firmy i obiegowi dokumentów, zobaczyć, gdzie praca przebiega płynnie i skutecznie, gdzie pojawiają się zatory lub problemy komunikacyjne, gdzie występują deficyty sprzętowe, a gdzie procedury są przestarzałe. 

 

Wykopaliska sekcji archeo

Porządny audyt RODO jest jak praca na stanowisku archeologicznym – trzeba kopać głęboko i dokładnie. W grę wchodzi przejrzenie setek stron dokumentów – formularzy rekrutacyjnych, polityk prywatności na stronie internetowej, wewnętrznych procedur HRowych, umów z pracownikami, współpracownikami, dostawcami, partnerami i klientami, polityk bezpieczeństwa i korzystania ze sprzętu komputerowego, narzędzi i aplikacji używanych do przechowywania danych, marketingu, komunikacji, przegląd rejestru umów pisemnych, dokumentacji pracowniczej czy księgowości. To także wizja lokalna w przypadku kontroli prawidłowości zastosowania monitoringu, używania zdjęć przy identyfikatorach służbowych, kontroli wejścia i wyjścia z budynku firmy i wiele innych. 

 

Przy okazji tak wykonanego audytu można dowiedzieć się wielu rzeczy o przedsiębiorstwie. Można np. odkryć, że przechowuje się całe szafy zbędnej dokumentacji, którą dawno powinno się już zniszczyć, albo że marnuje się roboczogodziny na pozyskiwanie i przetwarzanie danych, które nie są nikomu do niczego potrzebne, ale “zawsze się tak robiło”. Przegląd umów pod kątem przetwarzania danych nierzadko uświadamia rzeczy, które w codziennej pracy umykają np. że opłaca się faktury za usługi, z których się już dawno nie korzysta lub można zmienić je na tańsze i nowocześniejsze. Audyt procedur i narzędzi może wykazać, że w firmie stosowane są różne aplikacje i programy o takim samym zastosowaniu w różnych działach i aż prosi się, żeby je uporządkować i ujednolicić udrażniając tym obieg informacji w całej organizacji. Nierzadko też w trakcie audytu rzucają się w oczy deficyty sprzętowe i przestarzałe procedury, które niewielkim nakładem sił i środków oraz przy zastosowaniu nowoczesnych rozwiązań, mogą być szybko naprawione. Można więc w skrócie powiedzieć, że audyt RODO jest dobrą okazją do otwarcia okien i przewietrzenia tych obszarów organizacji, gdzie już od dawna było duszno. 

 

Impuls modernizacyjny

Przeprowadzenie audytu ułatwia przy okazji uporządkowanie i aktualizację dokumentacji firmy. To dobry moment żeby zrezygnować z niepotrzebnych usług, uzupełnić umowy z klientami o niezbędne aneksy, uporządkować rejestry dokumentów, usystematyzować i zaktualizować procedury. Wiedza uzyskana w trakcie rzetelnego audytu RODO może także stanowić punkt wyjściowy do podjęcia decyzji modernizacyjnych w sferze organizacyjnej, infrastruktury technicznej czy procedur i polityk wewnętrznych. To z kolei przełoży się na lepsze funkcjonowanie całej organizacji, a zastosowanie nowoczesnych narzędzi i procedur może nawet dać przewagę nad rynkową konkurencją, która pozostanie w tyle bazując na przestarzałych rozwiązaniach. Pierwszym i najważniejszym efektem audytu jest oczywiście pełne i dobrze wykonane wdrożenie RODO, które z pewnością będzie odczuwalne zarówno dla klientów jak i biznesowych partnerów. Rzetelne i profesjonalne zastosowanie przepisów o ochronie danych może być więc elementem budowy wizerunku firmy i cechą, która będzie ją wyróżniać na rynku. 

 

W tym kontekście dokumentacja wdrożeniowa RODO stworzona po rzetelnym audycie jest jak garnitur szyty na miarę, z odpowiednich materiałów, po kilku przymiarkach i poprawkach tak, że nie tylko dobrze prezentuje się na zdjęciach, ale jest także wygodny i funkcjonalny. Inaczej niż parę klauzul i rejestrów stworzonych naprędce po powierzchownym przeglądzie, które można porównać do garnituru kupionego przez internet bez przymierzania – może na pierwszy rzut oka jakoś wygląda, ale problem pojawi się, jak trzeba będzie w nim zatańczyć.

Podobne wpisy:

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

Rejestr czynności przetwarzania danych osobowych – w jaki sposób go prowadzić?

Rejestr czynności przetwarzania (RCP) to podstawowe narzędzie wspierające administratorów, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych i pomagające wykazać przestrzeganie zasady rozliczalności. Jaki jest cel prowadzenia rejestru? Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: zachowanie przez administratora zgodności z RODO; umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Prowadzony przez administratorów RCP pozwala im […]

3 przypadki wymiany danych z agencją rekrutacyjną

Zlecasz agencji rekrutacyjnej przeprowadzenie rekrutacji? Korzystasz z pomocy profesjonalisty, żeby powierzyć im część działań związanych z wyszukaniem kandydatów? Pamiętaj, że Twoja firma, jako potencjalny pracodawca, ma pewne obowiązki do wykonania względem danych swoich kandydatów, ale najpierw musi potwierdzić, jaką rolę w tym procesie pełni (czy i kiedy jest administratorem danych?). W tym wpisie chcę Ci […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki