Audyt RODO można zapewne przeprowadzić na wiele sposobów. Ale chyba nie ma potrzeby wymyślania koła na nowo, jeśli w tym konkretnym przypadku wykorzystać można pewne sprawdzone wzorce i procesy, które od dawna funkcjonują w pokrewnych dziedzinach. Dla mnie niewątpliwie taką właśnie dziedziną jest audyt realizowany wg normy ISO 27001.
W poniższym wpisie chciałbym krótko przedstawić korzyści i zalety jakie wynikają z dobrze przygotowanego i zrealizowanego spotkania otwarcia, które inicjuje realizację tak samego audytu RODO, jak również – na dalszym etapie współpracy (o ile będzie miała zastosowanie) – wdrożenia zaleceń wynikających z takich działań.
Czym jest spotkanie otwarcia?
Zanim spróbujemy sobie zdefiniować termin „spotkanie otwarcia”, na początek zastanówmy się czym jest sam audyt, ponieważ – co zostało już wskazane powyżej – interesujące nas spotkanie ma na celu zapoczątkowanie (zainicjowanie) działań w ramach tegoż.
Zgodnie z definicją zawartą w normie ISO 27000 audyt to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów wg których audyt jest realizowany.
W przypadku audytu RODO różnie kształtować możemy sobie jego cele, ale ja skupię się na tym najbardziej pierwotnym, czyli uzyskaniu dowodu potwierdzającego niezgodność z przepisami ochrony danych osobowych.
Powyżej mowa jest o celu audytu. Ty jako audytor ten cel znasz, podobnie jak osoba, która zleca ci jego przeprowadzenie. Ale czy znają go ludzie, którzy będą uczestniczyli w audycie? Niekoniecznie. I tu z pomocą przychodzi nam właśnie spotkanie otwarcia.
A zatem spotkanie otwarcia poprzedzające audyt (tu: audyt RODO) to formalne, wstępne spotkanie audytorów z przedstawicielami organizacji, podczas którego omawia się cel, zakres, kryteria i plan audytu, przedstawia zespół audytowy, ustala zasady komunikacji oraz kwestie organizacyjne i techniczne, tak aby wszystkie strony w jednakowy sposób rozumiały założenia i warunki realizacji audytu.
Korzyści i zalety spotkania otwarcia inicjującego audyt RODO
Zacznę może od aspektu psychologicznego związanego z audytem. Z moich doświadczeń wynika, że wiele osób, które w nim uczestniczą (a mówiąc językiem definicji audytu – „dostarczają dowody”) odczuwają dyskomfort, a czasami nawet silny stres, gdy udzielają odpowiedzi na pytania audytora, przekazują materiały, które posłużą do analizy na potrzeby raportu, itd. A zatem spotkanie otwarcia może nam posłużyć do zbudowanie wspólnego zrozumienia roli audytu (ocena zgodności, a nie „polowanie na winnych”), co powinno przełożyć się na zmniejszenie oporu i właśnie stresu po stronie audytowanych. Dodatkowo buduje to również atmosferę współpracy i zaufania między audytorami a organizacją, co sprzyja otwartym rozmowom i pozyskiwaniu rzetelnych informacji o funkcjonowaniu systemu ochrony danych osobowych.
Kolejny aspekt to oczywiście jasne zdefiniowanie celu, zakresu, kryteriów i metodyki audytu, co ogranicza ryzyko nieporozumień w jego trakcie.
Podczas spotkania, które tu omawiam, audytor prezentuje również plan audytu (uprzednio przygotowany) na który składają się m.in. określenie ram czasowych, harmonogram, potrzebne zasoby, itp. W trakcie realizacji audytu przełoży się to bezpośrednio choćby na dostępność właściwych osób oraz dokumentów.
Często zdarza się tak, że audytuje nie tylko audytor wiodący, ale również audytorzy wspierający, czyli zespół. A zatem w trakcie spotkania można tenże zespół przedstawić i wskazać kto za co odpowiada. Z kolei organizacja ma możliwość przedstawienia kluczowego personelu, czyli właścicieli biznesowych, którzy albo samodzielnie albo przy pomocy podległych im pracowników będą dostarczali zespołowi audytowemu wiedzy (oraz dowodów) o audytowanej organizacji. Idąc dalej – następuje również ustalenie kanałów i zasad komunikacji (kontakt główny, sposób zgłaszania problemów, informowanie o postępie, sposób raportowania niezgodności), co redukuje chaos informacyjny.
Bardzo ważnym elementem spotkania otwarcia jest deklaracja dotycząca poufności po stronie audytora. Oczywistym jest, że poufność mamy zapisaną również w umowie między stronami, ale taka deklaracja – ponownie – ma charakter psychologiczny i uspokajający osoby, które będą uczestniczyły w audycie.
Wreszcie jest to ten moment, gdzie osoby, które będą uczestniczyły w audycie mogły zadać nurtujące ich pytania związane z audytem RODO w organizacji.
Podsumowanie
Z moich obserwacji wynika, że dobrze przygotowane i poprowadzone spotkanie otwarcia ma przełożenie na dobrą współpracę między zespołem audytowym a organizacją poddaną takiemu audytowi. Dlatego warto poświęcić trochę czasu na jego porządne przygotowanie, ale też na uświadomienie audytowanej organizacji jakie mogą być korzyści związane z takim spotkaniem.
