Mapa drogowa #ROADtoRODO Przystanek 10

Fundacja Bezpieczna Cyberprzestrzeń

Audyt powdrożeniowy, rekomendacje i korekty

 

Od maja 2018 r. zacznie obowiązywać RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Rozporządzenie to znacznie poszerza obowiązki podmiotów przetwarzających dane osobowe, na ewentualne naruszenia natomiast wprowadza kary finansowe. Aby ułatwić przedsiębiorcom tę niełatwą drogę przygotowań do wdrożenia RODO Fundacja Bezpieczna Cyberprzestrzeń rozpoczęła projekt #ROADtoRODO.

Zapraszamy w naszą podróż #ROADtoRODO  (INFOGRAFIKA). Przystanek nr 10 (poprzednie przystanki).

 

 

 

Przed nami już ostatni dziesiąty znak na naszej drodze! Dotyczy on wykonania audytu powdrożeniowego i implementacji niezbędnych poprawek, oraz omawia kwestie z monitorowaniem okresowym naszego systemu dotyczącego ochrony danych osobowych.

 

Audyt powdrożeniowy

 

Należy pamiętać, że wdrożenie nowego systemu, czy procesu nigdy nie kończy prac nad nimi. Zawsze należy przeprowadzić audyt powdrożeniowy, dzięki któremu zlokalizujemy luki i sprzeczności mogące mieć nawet krytyczny wpływ na nasze procesy biznesowe.  Audyt pozwala odpowiedzieć na pytania, czy zostały osiągnięte cele zakładane wstępnie oraz czy w nowych warunkach istotne dla działalności organizacji procesy mogą być jeszcze bardziej efektywne. Wreszcie audyt taki pozwala stwierdzić, czy wdrożenie w całości zakończyło się sukcesem, zdefiniować protokoły rozbieżności oraz ewentualne dalsze wytyczne bądź procedury naprawcze.

 

Ciągłość procesu ochrony danych osobowych

Ochrona danych osobowych w organizacji jest procesem ciągłym opartym na cyklu Deminga mającym na celu ciągłe doskonalenie, ulepszanie. Graficznie cykl przedstawia się jako koło, składające się z czterech fragmentów zaplanuj, wykonaj, sprawdź i popraw.

 

Rys.1: Cykl Deminga

 

Audyty okresowe

 

System zbudowany na RODO i mający zapewnić ochronę danych osobowych jest skuteczny tak długo, jak długo funkcjonuje sprawnie. Utrzymanie odpowiedniego poziomu tego systemu wymaga ciągłych sprawdzeń okresowych. Celem audytów okresowych oprócz wymienionych już wcześniej, jest także przypomnienie osobom przetwarzającym dane o wszelkich procedurach organizacyjnych z tym związanych. Warto więc przygotować sobie odpowiednie dokumenty, harmonogramy checklisty i zadbać o to by miały one również charakter edukacyjny. Należy nadmienić, że nie ma jednej i jedynie słusznej metodologii i techniki przeprowadzania takich audytów, pamiętać jednak należy o podstawowej zasadzie rozliczalności, czyli dokumentowaniu wszystkich naszych czynności z tym związanych. Takim dokumentem okresowego audytu może być raport/sprawozdanie, dokument ten powinien zawierać również uwagi i rekomendacje. Jednocześnie pamiętajmy, że nie każde rekomendacje muszą zostać bezwarunkowo wdrożone, gdyż może się okazać, że przykładowy koszt wdrożenia jakiegoś zabezpieczenia technicznego lub organizacyjnego przewyższa zidentyfikowane ryzyko (patrz art. 25 ust. 1 i art. 32 ust. 1 RODO). Jednak również w tym wypadku powinien zostać opracowany materiał dokumentujący przyczyny takiego, a nie innego zachowania administratora.

Każdy audyt jest dodatkowo okazją do pogłębienia wiedzy z zakresu którego dotyczy, a każdy z administratorów danych osobowych musi uzmysłowić sobie, że odpowiada za ciągły monitoring tego, co dzieje się z danymi osobowymi przetwarzanymi przez jego organizację. Audyt powinien być wykonywany w organizacji systematycznie w określonych odstępach czasowych, bardzo istotne jest by przy jego przeprowadzaniu uwzględniać wszelkie zmiany techniczne i technologiczne, oraz nowe dobre praktyki, które pojawić się mogą w okresie między poszczególnymi audytami monitorującymi.

 

Podsumowanie mapy drogowej #ROADtoRODO

 

Na tym kończymy naszą przygodę z mapą drogową dotyczącą wdrożenia RODO w organizacji. Mamy nadzieję, że pomogliśmy Wam przejść przez proces wdrożeniowy jak najsprawniej, a nasze wskazówki okazały się pomocne. To jednak nie jest absolutny koniec.  Jako Fundacja zapewniamy, że projekt #ROADtoRODO będzie kontynuowany. Na naszej stronie pojawiać się będą artykuły związane z ochroną danych osobowych, oraz będziemy organizować różne eventy w tym zakresie, najbliższy z nich już 24 kwietnia w Warszawiecałkowicie bezpłatne seminarium „Świat po RODO – rozważania, rozwiązania”. W seminarium wezmą udział eksperci z dziedziny inżynierii systemów komputerowych, prawnicy, oraz przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych. Zapraszamy serdecznie, a dużo więcej informacji o tym wydarzeniu znajdziecie pod linkiem: https://www.cybsecurity.org/pl/zapraszamy-na-seminarium-rodo/

 

 

Share Button