Audyt ochrony danych osobowych

Oferta obejmuje audyt ochrony danych osobowych, czyli całościowy przegląd w odniesieniu do wymagań prawnych, technicznych i organizacyjnych. Dotyczy stanu na dzień audytu w odniesieniu do RODO i polskich przepisów prawa. Przegląd wymagań prawnych realizowany jest przy współudziale prawnika. Wynikiem tego przeglądu jest raport niezgodności.

Wyjaśnienie:

Audyt ochrony danych osobowych może zostać przeprowadzony na zlecenie kierownika organizacji lub firmy dla celów ustalenia stanu faktycznego. Chodzi o wyspecyfikowanie dalszych niezbędnych działań koniecznych do podjęcia, aby dostosować organizację lub firmę do przepisów o ochronie danych osobowych. Kierownik jednostki, jeśli nie jest z wykształcenia osobą działająca w obszarze technicznym lub prawnym, musi posiłkować się innymi doradcami. Audyt ochrony danych osobowych różni się od doradztwa czy wdrożenia tym, że daje tylko raport z niegodności. Przekazuje także ogólne zalecenia działań naprawczych, ale nie przekazuje żadnych konkretnych rozwiązań, wzorów dokumentacji itd. Trwa krócej i jest oczywiście tańszą formą doradztwa. Nie należy mylić pojęcia audyt z pojęciem kontrola!

Wątpliwość budzi sytuacja, gdy w organizacji lub firmie został powołany IOD. Wg mojej oceny, w takiej sytuacji osoba zewnętrzna może podjąć się audytu tylko w porozumieniu z IOD, który potraktuje ją, jako zewnętrznego eksperta. Ekspert niezależnie spojrzy i doradzi na rzecz IOD. Moją wątpliwość budzi fakt zatrudnienia zewnętrznego audytora przez kierownika jednostki, który miałby za zadanie sprawdzenie prawidłowości działania IOD. Z drugiej strony, IOD podlega kierownikowi jednostki i kierownik jednostki ma prawo sprawdzić pracę podległej mu osoby.Pytanie, czy sam czy też poprzez powołanie zewnętrznego audytora? A co jeśli sam nie posiada odpowiedniej wiedzy?

Wg ostatnich informacji wiem, że szef jednostki zawsze ma prawo powołać osobę zewnętrzną dla swoich potrzeb, ale ten zewnętrzny audytor przekazuje raport  tylko szefowi i nie ma prawa w żaden sposób ingerować w działania IOD. Ostateczną decyzję w konkretnej jednostce podejmuje jej szef (reprezentant Administratora Danych Osobowych). Jeżeli będzie ona sprzeczna z wytycznymi IOD, odpowiedzialność przechodzi na szefa.

Ja ze swej strony współpracuję z kierownikami jednostek i z osobami pełniącymi funkcje IOD, ale nie podejmuję się wykonywania audytów mających na celu zweryfikowanie prawidłowości pracy IOD bez jego wiedzy i akceptacji.  Staram się aby IOD zawsze uczestniczył w audycie. Wyjątek stanowi wdrożenie lub certyfikacja normy PN-ISO/IEC 27001:2013, ale tam jest określony zupełnie inny cel wykonania audytu i ochrona danych osobowych w odniesieniu do przepisów prawa stanowi jedynie niewielki element całego audytu bezpieczeństwa informacji.

Anna Słodczyk (czerwiec 2018 r.)