iSecure logo
Blog

Nieoczywiste korzyści z audytu RODO

Bartosz Migas

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje swoje początkowe wdrożenie. Przy tej okazji warto odnotować, że widoczna jest bardziej odpowiedzialna postawa biznesu wobec ochrony danych osobowych, choć wciąż nierzadko spotykane jest podejście traktujące wymóg stosowania RODO jako kolejny obowiązek generujący wyłącznie koszty. Stąd też po niektórych wdrożeniach widać wyraźnie, że były przeprowadzane po linii najmniejszego oporu, są w dużej mierze powierzchowne i wykonane raczej żeby “coś było”, niż żeby rzeczywiście dostosować swoje procesy biznesowe do zasad ochrony danych osobowych. Rzecz w tym, że sam audyt RODO, a po nim wdrożenie, rodzą liczne pozytywne skutki dla całej firmy, nie tylko w zakresie spełnienia kolejnego wymogu prawnego. 

 

Po pierwsze audyt

Pierwszym krokiem do wdrożenia musi być audyt. Im dokładniejszy i głębszy, tym lepsze da efekty. Audyt przeprowadzony pod kątem ochrony danych to jednak nie wycinkowe badanie organizacji pod mikroskopem, tylko przypomina bardziej kompleksową tomografię całego organizmu, w szeregu jego kluczowych aspektów. Wieloletni selekcjoner hiszpańskiej reprezentacji w piłce nożnej Vincente del Bosque zapytany o piłkarza Sergio Busquetsa powiedział kiedyś “kiedy oglądasz mecz, nie widzisz Busquetsa, ale kiedy patrzysz na Busquetsa widzisz cały mecz”. Podobna sytuacja ma miejsce z ochroną danych osobowych – kiedy patrzysz na konkretną działalność gospodarczą nie widzisz przetwarzania danych osobowych, ale jeśli patrzysz na przetwarzanie tych danych, to widzisz cały biznes. Audyt przedwdrożeniowy jest jak drobiazgowy obchód całej firmy śledząc obieg danych osobowych, od momentu ich zebrania, poprzez wszystkie etapy przetwarzania w poszczególnych działach i komórkach, aż po miejsca udostępniania ich dalej lub długoterminowego przechowywania. W trakcie tych czynności można poznać niemal każdy proces biznesowy, przyjrzeć się organizacji firmy i obiegowi dokumentów, zobaczyć, gdzie praca przebiega płynnie i skutecznie, gdzie pojawiają się zatory lub problemy komunikacyjne, gdzie występują deficyty sprzętowe, a gdzie procedury są przestarzałe. 

 

Wykopaliska sekcji archeo

Porządny audyt RODO jest jak praca na stanowisku archeologicznym – trzeba kopać głęboko i dokładnie. W grę wchodzi przejrzenie setek stron dokumentów – formularzy rekrutacyjnych, polityk prywatności na stronie internetowej, wewnętrznych procedur HRowych, umów z pracownikami, współpracownikami, dostawcami, partnerami i klientami, polityk bezpieczeństwa i korzystania ze sprzętu komputerowego, narzędzi i aplikacji używanych do przechowywania danych, marketingu, komunikacji, przegląd rejestru umów pisemnych, dokumentacji pracowniczej czy księgowości. To także wizja lokalna w przypadku kontroli prawidłowości zastosowania monitoringu, używania zdjęć przy identyfikatorach służbowych, kontroli wejścia i wyjścia z budynku firmy i wiele innych. 

 

Przy okazji tak wykonanego audytu można dowiedzieć się wielu rzeczy o przedsiębiorstwie. Można np. odkryć, że przechowuje się całe szafy zbędnej dokumentacji, którą dawno powinno się już zniszczyć, albo że marnuje się roboczogodziny na pozyskiwanie i przetwarzanie danych, które nie są nikomu do niczego potrzebne, ale “zawsze się tak robiło”. Przegląd umów pod kątem przetwarzania danych nierzadko uświadamia rzeczy, które w codziennej pracy umykają np. że opłaca się faktury za usługi, z których się już dawno nie korzysta lub można zmienić je na tańsze i nowocześniejsze. Audyt procedur i narzędzi może wykazać, że w firmie stosowane są różne aplikacje i programy o takim samym zastosowaniu w różnych działach i aż prosi się, żeby je uporządkować i ujednolicić udrażniając tym obieg informacji w całej organizacji. Nierzadko też w trakcie audytu rzucają się w oczy deficyty sprzętowe i przestarzałe procedury, które niewielkim nakładem sił i środków oraz przy zastosowaniu nowoczesnych rozwiązań, mogą być szybko naprawione. Można więc w skrócie powiedzieć, że audyt RODO jest dobrą okazją do otwarcia okien i przewietrzenia tych obszarów organizacji, gdzie już od dawna było duszno. 

 

Impuls modernizacyjny

Przeprowadzenie audytu ułatwia przy okazji uporządkowanie i aktualizację dokumentacji firmy. To dobry moment żeby zrezygnować z niepotrzebnych usług, uzupełnić umowy z klientami o niezbędne aneksy, uporządkować rejestry dokumentów, usystematyzować i zaktualizować procedury. Wiedza uzyskana w trakcie rzetelnego audytu RODO może także stanowić punkt wyjściowy do podjęcia decyzji modernizacyjnych w sferze organizacyjnej, infrastruktury technicznej czy procedur i polityk wewnętrznych. To z kolei przełoży się na lepsze funkcjonowanie całej organizacji, a zastosowanie nowoczesnych narzędzi i procedur może nawet dać przewagę nad rynkową konkurencją, która pozostanie w tyle bazując na przestarzałych rozwiązaniach. Pierwszym i najważniejszym efektem audytu jest oczywiście pełne i dobrze wykonane wdrożenie RODO, które z pewnością będzie odczuwalne zarówno dla klientów jak i biznesowych partnerów. Rzetelne i profesjonalne zastosowanie przepisów o ochronie danych może być więc elementem budowy wizerunku firmy i cechą, która będzie ją wyróżniać na rynku. 

 

W tym kontekście dokumentacja wdrożeniowa RODO stworzona po rzetelnym audycie jest jak garnitur szyty na miarę, z odpowiednich materiałów, po kilku przymiarkach i poprawkach tak, że nie tylko dobrze prezentuje się na zdjęciach, ale jest także wygodny i funkcjonalny. Inaczej niż parę klauzul i rejestrów stworzonych naprędce po powierzchownym przeglądzie, które można porównać do garnituru kupionego przez internet bez przymierzania – może na pierwszy rzut oka jakoś wygląda, ale problem pojawi się, jak trzeba będzie w nim zatańczyć.

Podobne wpisy:

Agnieszka Rapcewicz

Dostosowanie przedsiębiorców do RODO okiem specjalisty

Czy po dwóch latach od wejścia w życie RODO przedsiębiorcy dostosowali swoje działania do nowych przepisów o ochronie danych osobowych? Jak wynika z ankiety przeprowadzonej przez GDPR Community, pewność większości specjalistów co wdrożenia RODO w organizacjach wynosi mniej niż 50%. Co niepokojące, tylko 6% ankietowanych zagłosowało na „Większość jest zgodna z przepisami (80%<)”. Autorka tekstu […]

Pobieraczek.pl ukarany przez UOKiK
Damian Bielecki

Główne cele audytu ochrony danych

Z powodu coraz częstszych strat finansowych, jak i w szczególności wizerunkowych, działanie w zgodności z RODO i szeroko pojętą ochroną danych osobowych nie jest już traktowane tylko jako niepotrzebny obowiązek, lecz także jako działanie marketingowe, bardzo pożądane wśród kontrahentów lub klientów przedsiębiorstwa. Oprócz wdrażania rozwiązań zgodnych z RODO, przedsiębiorcy coraz częściej starają się posiadać i […]

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
Olga Skotnicka

Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki