Skip to content

Audyt RODO — sprawdź, czy Twoja firma jest zgodna z przepisami

Większość organizacji ma dokumentację RODO. Znacznie mniej ma pewność, że ta dokumentacja odpowiada temu, co rzeczywiście dzieje się z danymi. Audyt pokazuje różnicę między jednym a drugim — zanim pokaże ją kontrola Prezesa UODO, skarga klienta albo incydent bezpieczeństwa.

Co obejmuje audyt RODO

Audyt to kompleksowy przegląd zgodności organizacji z przepisami o ochronie danych osobowych. Badamy w szczególności:

  • procesy przetwarzania — jakie dane, w jakich celach, na jakich podstawach prawnych (art. 6 i 9 RODO) faktycznie przetwarza organizacja,
  • rejestr czynności przetwarzania i rejestr kategorii czynności (art. 30 RODO) — czy istnieją i czy odpowiadają rzeczywistości,
  • obowiązki informacyjne — klauzule dla klientów, pracowników, kandydatów i kontrahentów (art. 13 i 14 RODO),
  • umowy powierzenia przetwarzania z dostawcami usług (art. 28 RODO) — w tym usługi IT, chmura, hosting, biuro rachunkowe, BHP,
  • transfery danych poza EOG — podstawy transferu i wymagane zabezpieczenia,
  • realizację praw osób, których dane dotyczą — czy organizacja potrafi obsłużyć żądanie dostępu, usunięcia czy sprzeciwu w terminie,
  • procedury obsługi naruszeń (art. 33–34 RODO) — od wykrycia po zgłoszenie do UODO,
  • środki techniczne i organizacyjne (art. 32 RODO) — upoważnienia, zarządzanie dostępami, retencję danych,
  • obszary szczególne — monitoring wizyjny, dane kadrowe, marketing i cookies, zakładowy fundusz świadczeń socjalnych, sygnaliści.

Zakres audytu każdorazowo dopasowujemy do charakteru działalności — inaczej audytuje się podmiot leczniczy, inaczej sklep internetowy, a inaczej jednostkę publiczną.

Jak przebiega audyt

Etap 1 — Rozmowa wstępna i ustalenie zakresu. Ustalamy specyfikę działalności, obszary ryzyka i zakres badania.

Etap 2 — Analiza dokumentacji. Badamy przekazaną dokumentację: polityki, rejestry, klauzule, umowy, upoważnienia.

Etap 3 — Wywiady i weryfikacja praktyki. Rozmowy z osobami odpowiedzialnymi za kluczowe procesy (zarząd, HR, IT, marketing, obsługa klienta) — bo audyt bada rzeczywistość, nie deklaracje. Możliwe stacjonarnie lub zdalnie.

Etap 4 — Analiza zgodności i ocena ryzyka. Zestawiamy stan faktyczny z wymogami RODO, ustawy o ochronie danych osobowych i przepisów sektorowych.

Etap 5 — Raport i omówienie. Przekazujemy raport i omawiamy go z kierownictwem — wraz z rekomendowaną kolejnością działań naprawczych.

Czas trwania audytu zależy od wielkości organizacji i liczby procesów — ustalamy go na etapie wyceny i trzymamy się ustalonego harmonogramu.

Co zawiera raport z audytu

Raport jest produktem audytu — pisanym tak, by służył zarządowi do podejmowania decyzji, a nie zalegał w segregatorze:

  • lista stwierdzonych niezgodności z podziałem według wagi: krytyczne / istotne / porządkowe,
  • ocena ryzyka prawnego — w tym ryzyka odpowiedzialności administracyjnej i cywilnej,
  • konkretne rekomendacje naprawcze — co zrobić, w jakiej kolejności i dlaczego,
  • plan wdrożenia z proponowanymi priorytetami,
  • wskazanie obszarów, które wymagają decyzji biznesowej zarządu (nie wszystko jest zero-jedynkowe — część rozwiązań to wybór poziomu ryzyka).

Kiedy warto przeprowadzić audyt

Typowe sytuacje, w których organizacje zlecają audyt:

  • przygotowanie do kontroli Prezesa UODO lub otrzymanie pytań od organu,
  • skarga osoby, której dane dotyczą, albo żądanie, którego organizacja nie umie obsłużyć,
  • incydent bezpieczeństwa — wyciek, zgubiony sprzęt, atak,
  • due diligence — przed transakcją, inwestycją lub w jej trakcie,
  • wymóg kontrahenta — coraz częściej partnerzy handlowi i zamawiający publiczni wymagają wykazania zgodności,
  • zmiany w organizacji — nowy system IT, wdrożenie narzędzi AI, rozpoczęcie nowego rodzaju działalności, wzrost skali,
  • upływ czasu — dokumentacja wdrożona „na start RODO” w 2018 r. i nieaktualizowana od tamtej pory niemal na pewno odbiega od obecnej praktyki i stanu prawnego.

Co dalej po audycie

Audyt kończy się raportem — ale raport sam niczego nie naprawia. Na życzenie klienta przechodzimy do wdrożenia rekomendacji: aktualizacji dokumentacji, uzupełnienia umów powierzenia, opracowania procedur i przeszkolenia zespołu.

Dla organizacji objętych obowiązkiem powołania IOD naturalnym kolejnym krokiem jest outsourcing tej funkcji — audyt otwarcia mamy wtedy już za sobą.

Kto przeprowadza audyt

Audyt przeprowadza radca prawny — dr Joanna Maniszewska-Ejsmont, doktor nauk prawnych i wykładowca akademicki, specjalizująca się w prawie ochrony danych osobowych. Audyt prowadzony przez prawnika oznacza, że ocena zgodności obejmuje nie tylko dokumenty, ale też kwalifikację prawną procesów — podstawy przetwarzania, relacje administrator–procesor, obowiązki sektorowe.

Najczęstsze pytania

Ile trwa audyt RODO?

Zależnie od wielkości organizacji i liczby procesów — od kilku dni do kilku tygodni. Konkretny harmonogram ustalamy przed rozpoczęciem prac i się go trzymamy.

Czy audyt wymaga udostępnienia danych osobowych?

Audyt badamy w oparciu o dokumentację, procesy i wywiady — nie wymaga masowego udostępniania danych osobowych. Tam, gdzie wgląd w dane jest niezbędny (np. weryfikacja praktyki), odbywa się on na podstawie odpowiedniego umocowania i z zachowaniem tajemnicy zawodowej radcy prawnego.

Czy audyt chroni przed karą UODO?

Żaden audyt nie daje gwarancji braku kary. Daje natomiast dwie rzeczy: realną wiedzę o ryzykach zanim zmaterializują się w postępowaniu, oraz wykazanie staranności — a podejście administratora do zgodności jest jedną z okoliczności branych pod uwagę przy wymiarze ewentualnej kary (art. 83 ust. 2 RODO).

Czym audyt różni się od wdrożenia?

Audyt odpowiada na pytanie „gdzie jesteśmy i co jest nie tak”. Wdrożenie to naprawa — opracowanie i wprowadzenie brakujących rozwiązań. Audyt zawsze poprzedza sensowne wdrożenie.

Czy audyt można przeprowadzić zdalnie?

Tak — analiza dokumentacji i wywiady mogą odbyć się w całości zdalnie. Elementy wymagające oględzin (np. fizyczne zabezpieczenia, monitoring) realizujemy na miejscu.

Chcesz wiedzieć, na czym stoisz — zanim sprawdzi to ktoś inny? Napisz lub zadzwoń. Wycenę audytu przygotowujemy po krótkiej rozmowie o specyfice Twojej organizacji.

Zapewniamy

prawnik Warszawa

Przejrzystość informacji

– jasne i zrozumiałe wyjaśnienie sytuacji prawnej, opcji działania oraz potencjalnych konsekwencji
radca prawny Warszawa

Skuteczność działania

– przygotowanie solidnej strategii prawnej, mającej na celu osiągnięcie najlepszych wyników dla klienta
radca prawny prawo spadkowe

Empatyczne podejście

– pomaga klientowi czuć się zrozumianym i wspieranym w trudnych sytuacjach prawnych