iSecure logo
Blog

Nieoczywiste korzyści z audytu RODO

Bartosz Migas

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje swoje początkowe wdrożenie. Przy tej okazji warto odnotować, że widoczna jest bardziej odpowiedzialna postawa biznesu wobec ochrony danych osobowych, choć wciąż nierzadko spotykane jest podejście traktujące wymóg stosowania RODO jako kolejny obowiązek generujący wyłącznie koszty. Stąd też po niektórych wdrożeniach widać wyraźnie, że były przeprowadzane po linii najmniejszego oporu, są w dużej mierze powierzchowne i wykonane raczej żeby “coś było”, niż żeby rzeczywiście dostosować swoje procesy biznesowe do zasad ochrony danych osobowych. Rzecz w tym, że sam audyt RODO, a po nim wdrożenie, rodzą liczne pozytywne skutki dla całej firmy, nie tylko w zakresie spełnienia kolejnego wymogu prawnego. 

 

Po pierwsze audyt

Pierwszym krokiem do wdrożenia musi być audyt. Im dokładniejszy i głębszy, tym lepsze da efekty. Audyt przeprowadzony pod kątem ochrony danych to jednak nie wycinkowe badanie organizacji pod mikroskopem, tylko przypomina bardziej kompleksową tomografię całego organizmu, w szeregu jego kluczowych aspektów. Wieloletni selekcjoner hiszpańskiej reprezentacji w piłce nożnej Vincente del Bosque zapytany o piłkarza Sergio Busquetsa powiedział kiedyś “kiedy oglądasz mecz, nie widzisz Busquetsa, ale kiedy patrzysz na Busquetsa widzisz cały mecz”. Podobna sytuacja ma miejsce z ochroną danych osobowych – kiedy patrzysz na konkretną działalność gospodarczą nie widzisz przetwarzania danych osobowych, ale jeśli patrzysz na przetwarzanie tych danych, to widzisz cały biznes. Audyt przedwdrożeniowy jest jak drobiazgowy obchód całej firmy śledząc obieg danych osobowych, od momentu ich zebrania, poprzez wszystkie etapy przetwarzania w poszczególnych działach i komórkach, aż po miejsca udostępniania ich dalej lub długoterminowego przechowywania. W trakcie tych czynności można poznać niemal każdy proces biznesowy, przyjrzeć się organizacji firmy i obiegowi dokumentów, zobaczyć, gdzie praca przebiega płynnie i skutecznie, gdzie pojawiają się zatory lub problemy komunikacyjne, gdzie występują deficyty sprzętowe, a gdzie procedury są przestarzałe. 

 

Wykopaliska sekcji archeo

Porządny audyt RODO jest jak praca na stanowisku archeologicznym – trzeba kopać głęboko i dokładnie. W grę wchodzi przejrzenie setek stron dokumentów – formularzy rekrutacyjnych, polityk prywatności na stronie internetowej, wewnętrznych procedur HRowych, umów z pracownikami, współpracownikami, dostawcami, partnerami i klientami, polityk bezpieczeństwa i korzystania ze sprzętu komputerowego, narzędzi i aplikacji używanych do przechowywania danych, marketingu, komunikacji, przegląd rejestru umów pisemnych, dokumentacji pracowniczej czy księgowości. To także wizja lokalna w przypadku kontroli prawidłowości zastosowania monitoringu, używania zdjęć przy identyfikatorach służbowych, kontroli wejścia i wyjścia z budynku firmy i wiele innych. 

 

Przy okazji tak wykonanego audytu można dowiedzieć się wielu rzeczy o przedsiębiorstwie. Można np. odkryć, że przechowuje się całe szafy zbędnej dokumentacji, którą dawno powinno się już zniszczyć, albo że marnuje się roboczogodziny na pozyskiwanie i przetwarzanie danych, które nie są nikomu do niczego potrzebne, ale “zawsze się tak robiło”. Przegląd umów pod kątem przetwarzania danych nierzadko uświadamia rzeczy, które w codziennej pracy umykają np. że opłaca się faktury za usługi, z których się już dawno nie korzysta lub można zmienić je na tańsze i nowocześniejsze. Audyt procedur i narzędzi może wykazać, że w firmie stosowane są różne aplikacje i programy o takim samym zastosowaniu w różnych działach i aż prosi się, żeby je uporządkować i ujednolicić udrażniając tym obieg informacji w całej organizacji. Nierzadko też w trakcie audytu rzucają się w oczy deficyty sprzętowe i przestarzałe procedury, które niewielkim nakładem sił i środków oraz przy zastosowaniu nowoczesnych rozwiązań, mogą być szybko naprawione. Można więc w skrócie powiedzieć, że audyt RODO jest dobrą okazją do otwarcia okien i przewietrzenia tych obszarów organizacji, gdzie już od dawna było duszno. 

 

Impuls modernizacyjny

Przeprowadzenie audytu ułatwia przy okazji uporządkowanie i aktualizację dokumentacji firmy. To dobry moment żeby zrezygnować z niepotrzebnych usług, uzupełnić umowy z klientami o niezbędne aneksy, uporządkować rejestry dokumentów, usystematyzować i zaktualizować procedury. Wiedza uzyskana w trakcie rzetelnego audytu RODO może także stanowić punkt wyjściowy do podjęcia decyzji modernizacyjnych w sferze organizacyjnej, infrastruktury technicznej czy procedur i polityk wewnętrznych. To z kolei przełoży się na lepsze funkcjonowanie całej organizacji, a zastosowanie nowoczesnych narzędzi i procedur może nawet dać przewagę nad rynkową konkurencją, która pozostanie w tyle bazując na przestarzałych rozwiązaniach. Pierwszym i najważniejszym efektem audytu jest oczywiście pełne i dobrze wykonane wdrożenie RODO, które z pewnością będzie odczuwalne zarówno dla klientów jak i biznesowych partnerów. Rzetelne i profesjonalne zastosowanie przepisów o ochronie danych może być więc elementem budowy wizerunku firmy i cechą, która będzie ją wyróżniać na rynku. 

 

W tym kontekście dokumentacja wdrożeniowa RODO stworzona po rzetelnym audycie jest jak garnitur szyty na miarę, z odpowiednich materiałów, po kilku przymiarkach i poprawkach tak, że nie tylko dobrze prezentuje się na zdjęciach, ale jest także wygodny i funkcjonalny. Inaczej niż parę klauzul i rejestrów stworzonych naprędce po powierzchownym przeglądzie, które można porównać do garnituru kupionego przez internet bez przymierzania – może na pierwszy rzut oka jakoś wygląda, ale problem pojawi się, jak trzeba będzie w nim zatańczyć.

Podobne wpisy:

Agnieszka Rapcewicz

Kilka słów o współadministrowaniu danymi osobowymi

Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Katarzyna Ułasiuk

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Maria Lothamer

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki