Jak przeprowadzić powtórny audyt ochrony danych osobowych

Przygotowując się do przeprowadzenia audytu, powinniśmy skoncentrować się na kilku podstawowych elementach. Podobnie jak w przypadku pierwszego audytu z ochrony danych osobowych powinniśmy ustalić jego termin z zarządem/dyrekcją podmiotu, który będzie objęty audytem.

Wybrany termin nie powinien kolidować z terminami innych audytów. Powinien też zostać zorganizowany w takim czasie, aby jak najmniej utrudniał działanie organizacji.

Przeprowadzając pierwszy audyt dobrym pomysłem jest przeprowadzenie wstępnego szkolenia z ochrony danych osobowych. Odmiennie wygląda sytuacja, kiedy pełnimy funkcję administratora bezpieczeństwa informacji od pewnego czasu i przeprowadzamy kolejny już audyt.

Oczywiście szkolenia dla pracowników powinniśmy dalej prowadzić, jednak powinny one być organizowane w innych terminach niż audyty.

Wynika to z tego, że po kilku szkoleniach pracownicy mają już (lub chociaż powinni mieć) świadomość o zasadach ochrony danych osobowych i wiedzą, kto pełni funkcję ABI.

Protokołowanie spotkań audytowych trochę przedłuża czas trwania audytu, jednakże ma bardzo istotną zaletę. Posiadanie protokołów zabezpieczy nas jako audytorów przed twierdzeniami, że ktoś czegoś nie powiedział, co zazwyczaj następuje po przygotowaniu raportu zawierającego odkryte uchybienia.

Unikniemy w ten sposób późniejszych, najczęściej nieprzyjemnych rozmów i tłumaczeń, kiedy audytowani mogą „wypierać” się pewnych uchybień odkrytych w ich komórkach. Warto pamiętać, aby protokół został podpisany przez osobę, która bierze udział w spotkaniu i odpowiada na nasze pytania.

Przygotowując plan powtórnego audytu, stosujemy takie same zasady jak w odniesieniu do pierwszego audytu. Wybieramy pracowników z najdłuższym stażem z danego działu i ustalamy z nimi harmonogram. Gotowy harmonogram przedkładamy przed zarząd/dyrekcję w celu jego zatwierdzenia.

Wybieramy działy, o których wiemy lub co najmniej podejrzewamy, że przetwarzają dane osobowe.

Przygotowanie takiego planu nie powinno być trudne, gdyż przeprowadzając powtórny audyt, powinniśmy już dosyć dobrze orientować się w strukturze organizacji i być w stanie określić, ile czasu poświęcić na spotkanie z konkretnym działem lub komórką organizacyjną (inaczej niż w przypadku pierwszego audytu z ochrony danych osobowych).

Warto również rozważyć uwzględnienie w planie audytu działów, w których zgodnie z naszą wiedzą obecnie nie zachodzą procesy przetwarzania danych.

Przeprowadzając powtórny audyt, koniecznie powinniśmy uwzględnić raport z poprzedniego audytu. Będziemy już bowiem posiadali wiedzę o stopniu zaawansowania realizacji zaleceń wskazanych w poprzednim raporcie ze stanu ochrony danych osobowych. Z uwagi na cele standaryzacyjne powinniśmy jednak zweryfikować ich wdrożenie również w bieżącym audycie.

Ostatecznym etapem audytu jest przygotowanie raportu zawierającego odkryte uchybienia. Poprzez uchybienia należy rozumieć niezgodności z ustawą o ochronie danych osobowych, które mogą prowadzić do odpowiedzialności karnej (najczęściej administratora danych osobowych).