Audyt zgodności z RODO

Wyzwanie biznesowe

Od 25 maja 2018r. każda organizacja przetwarzająca dane osobowe (administrator danych/ procesor) powinna być zgodna z wymogami RODO.

Dostosowanie organizacji często odbywało się w atmosferze pospiechu i chaosu. Często brakowało czasu na zweryfikowanie wykonanych prac pod kątem poziomu zgodności z nowymi przepisami ochrony danych osobowych.

Niemal każda organizacja przetwarza dane osobowe przedstawicieli kontrahentów, dostawców czy własnego personelu np. w obszarze kadrowym i płacowym, sprzedaży czy świadczenia usług. Pomimo dostosowania wewnętrznej dokumentacji do przepisów RODO wciąż istnieje wysokie ryzyko niezgodności, gdyż sporządzone dokumenty muszą działać w praktyce.

Odpowiedzialność za zgodność działań organizacji z RODO jest zależna od tego, czy system ochrony danych osobowych działa czy nie. Opracowanie i podpisanie wewnętrznej dokumentacji ochrony danych osobowych to dopiero pierwszy krok ku zgodności z RODO. Kolejnym jest jej faktyczne wdrożenie.

Rozwiązanie

Audyt zgodności z przepisami RODO

Usługa polega na zweryfikowaniu - od strony formalno-prawnej i faktycznej - rozwiązań wdrożonych przez organizację klienta. Wynikiem usługi jest szczegółowy raport określający procentowy poziom zgodności podmiotu z RODO wraz z listą rekomendacji dla administratora danych co do przywrócenia stanu zgodnego z prawem, wdrożenia brakujących procedur lub po prostu możliwości doskonalenia niektórych obszarów organizacji.

Audyt zgodności organizacji z przepisami RODO + audyt adekwatności zastosowanych zabezpieczeń

Usługa audytu zgodności może być rozszerzona o badanie adekwatności zastosowanych środków technicznych i organizacyjnych wobec przetwarzanych danych osobowych. W tym wariancie usługi zostanie przeprowadzona również weryfikacja zabezpieczeń oparta na normie ISO/IEC 27002. Wynikiem usługi jest nie tylko Raport określający poziom zgodności z RODO ale również Raport wskazujący słabe punkty zabezpieczeń stosowanych przez organizację wraz z oszacowanym poziomem ryzyka wystąpienia naruszeń wobec przetwarzanych danych osobowych.

Audyt organizacji w razie incydentu

Usługa ta polega na zweryfikowaniu zgodności czynności przetwarzania danych osobowych w razie wystąpienia naruszenia po stronie organizacji. Dane osobowe często nie są często tak dobrze chronione jak to pierwotnie wynikało z przeprowadzonej analizy ryzyka. W razie wystąpienia naruszenia po stronie organizacji nie zawsze łatwo jest współpracować z klientami, a odpowiedzialność i konsekwencje naruszenia spadają na administratora danych. Usługa polega na przeprowadzeniu audytu tzw. incydentalnego, którego wynikiem jest pełny raport określający stan faktyczny zdarzenia, przyczyny, konsekwencje oraz rekomendacje w zakresie np. zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych lub poinformowania osób, których dane dotyczą.

Usługa audytu organizacji klienta może zostać dopasowana do jego branżowych potrzeb na przykład w obszarze zgodności z normą ISO/IEC 29151, ISO/IEC 29134, wytycznych KNF, wymogów KRI, KSU czy UKE.

Nasze podejście

Usługa audytu organizacji klienta jest poprzedzona zgromadzeniem podstawowych informacji o zakresie audytu tak by wiarygodność sporządzonego Raportu z audytu była optymalna.

1. Wspólnie z klientem ustalany jest zakres i plan audytu, który określa terminy i metodyki jego przeprowadzania. Na podstawie podjętych ustaleń przedstawiana jest wycena audytu poszczególnych lokalizacji organizacji, które występują po stronie klienta.
2. Po zaakceptowaniu wyceny, planu, zakresu audytu oraz audytorów proponowane są terminy audytu. W tym momencie rozpoczyna się proces umawiania audytu tak by w jak najmniejszym stopniu zakłócał on codzienne procesy biznesowe.
3. Po zakończeniu audytu w każdej lokalizacji klienta sporządzany jest Raport zgodności, który w uzgodnionym terminie jest przesyłany do klienta. W razie potrzeby wyniki audytu zgodności mogą być zaprezentowane klientowi osobiście przez audytora przeprowadzającego audyt.

Usługi komplementarne: certyfikacja ISO 27001, certyfikacja ISO 22301, audyt zgodności z dyrektywą NIS, szkolenia właścicieli procesów z normy ISO 29151, szkolenia właścicieli procesów z normy ISO 29134.

Korzyści

1. Redukcja ryzyka niezgodności z RODO.
2. Weryfikacja poziomu zgodności organizacji z RODO.
3. Ujednolicenie poziomu bezpieczeństwa danych osobowych w organizacji.
4. Ograniczenie ryzyka wystąpienia naruszeń ochrony danych osobowych.
5. W przyszłości - ułatwienie uzyskania certyfikatu zgodności z RODO.
6. Budowa wizerunku odpowiedzialnej organizacji, dbającej o ochronę danych osobowych i bezpieczeństwo informacji.

Dlaczego Bureau Veritas?

1. Wiodąca, globalnie uznana jednostka certyfikacyjna (ponad 4 miliony certyfikatów wydawanych rocznie).  
2. Doświadczenie audytorów zdobyte podczas wielu audytów zgodności z ISO 27001 i ISO 22301.
3. Unikalna metodyka audytowania zgodności RODO wynikająca ze standardów bezpieczeństwa informacji.
4. Praktyczna znajomość RODO poparta Kodeksem dobrych praktyk wynikającym z ISO 29151.

DLACZEGO AUDYT ZGODNOŚCI Z RODO JEST WAŻNY?

Znaczna część organizacji jedynie pobieżnie dostosowała swoje procesy i zabezpieczenia do wymogów RODO za co przewidziana jest odpowiedzialność, również karna, którą może ponieść administrator danych zgodnie z Art. 107 Ustawy o ochronie danych osobowych.

CO MOŻE SIĘ STAĆ JEŻELI ORGANIZACJA OKRESOWO NIE ZWERYFIKUJE ZGODNOŚCI SWOICH DZIAŁAŃ Z RODO?

Osoby, których dane dotyczą coraz częściej korzystają z prawa do odszkodowania z tytułu naruszenia prawa do prywatności. W związku z tym, że odpowiedzialność za dane osobowe spoczywa na administratorze tych danych organizacja może zostać zmuszona do zapłaty odszkodowania zgodnie z Art. 82 ust. 4 RODO.

DLACZEGO WARTO SKORZYSTAĆ Z AUDYTU ZGODNOŚCI Z RODO WYKONANEGO BUREAU VERITAS?

Przeprowadzając audyt zgodności z RODO Bureau Veritas uwzględnia wszelkie wytyczne Prezesa UODO oraz ERODO jak również dobre praktyki wynikające z normy ISO 29151. Innymi słowy racjonalnie i odpowiedzialnie podchodzi do wymogów RODO.