logo asms
Facebook Twitter Google-plus Envelope

Assurance Service for Management Systems (ASMS)

Jednostka certyfikująca systemy zarządzania na terenie całej Polski. Gwarantujemy bezstronność i niezależność usług certyfikacyjnych. Zapoznaj się z naszą ofertą szkoleń otwartych.

Skontaktuj się z nami
asms-logo

Co to jest audyt powdrożeniowy?

Należy pamiętać, że wdrożenie nowego systemu, czy procesu nigdy nie kończy prac nad nim. Zawsze należy przeprowadzić audyt powdrożeniowy, dzięki któremu zlokalizujemy luki i sprzeczności mogące mieć krytyczny wpływ na nasze procesy biznesowe. Audyt pozwala odpowiedzieć na pytania, czy zostały osiągnięte cele zakładane wstępnie oraz czy w nowych warunkach istotne dla działalności organizacji procesy, mogą być jeszcze bardziej efektywne. Wreszcie audyt taki pozwala stwierdzić, czy wdrożenie w całości zakończyło się sukcesem, zdefiniować protokoły rozbieżności oraz dalsze wytyczne bądź procedury naprawcze. Ochrona danych osobowych w organizacji jest procesem ciągłym opartym na cyklu Deminga mającym na celu stałe doskonalenie, ulepszanie. Graficznie cykl przedstawia się jako koło, składające się z czterech fragmentów zaplanuj, wykonaj, sprawdź i popraw. RODO nie jest zbiorem gotowych rozwiązań ani podpowiedzi. Nie istnieje jeden uniwersalny algorytm postępowania prowadzący do spełnienia wymagań rozporządzenia, który pozwoli na prawidłowe wdrożenie przepisów o ochronie danych osobowych. RODO tworzy pewne ramy, a naszym zadaniem jest ich wypełnienie. Każda firma musi stworzyć swój indywidualny system ochrony danych co pozwoli Administratorowi (ADO) na dostosowanie go do swoich potrzeb.

Rodzaje audytu powdrożeniowego

  • Audyt mający na celu sprawdzenie prawidłowości przestrzegania przepisów unijnych RODO oraz krajowych UODO może być przeprowadzony u ADO przez podmiot zewnętrzny lub własnymi silami (IOD);
  • Audyt u Procesora jest realizowany na zlecenie ADO, który chce sprawdzić czy podmiot któremu zamierza lub już powierzył przetwarzanie jest wiarygodny tzn. czy przetwarza i chroni prawidłowo dane osobowe (art. 28 RODO).
Jeżeli ADO zleca u siebie audyt to jego celem jest poznanie słabych punktów, czy błędów w zakresie chrony danych osobowych a to skutkuje w praktyce pełną współpracą z audytorem. W przypadku Procesora audyt nie leży w jego interesie ponieważ jest zlecony przez ADO badającego rzetelność przetwarzania danych które powierza i wtedy przebieg współpracy może nie być bezkonfliktowy. Niezależnie od rodzaju audytu są pewne stałe punkty interesujące audytora:
  • zagadnienie organizacyjno –prawne ( dokumentacja, upoważnienia, umowy powierzenia),
  • zabezpieczenia i funkcjonalność systemów IT oraz bezpieczeństwo fizyczne;
  • podstawy prawne czyli realizacja w praktyce zasad i przesłanek umożliwiających przetwarzanie danych osobowych zgodnie z RODO;
  • realizacja praw właścicieli danych;
  • sposoby reakcji na zaistniałe w przeszłości naruszenia ( incydenty);
  • sposób przekazywania danych osobowych poza EOG.
Podstawą sprawnie i prawidłowo przeprowadzonego audytu powdrożeniowego jest przygotowana przez audytora lista pytań audytowych uwzględniająca zakres i stopień szczegółowości badania. Dlatego tak istotne jest, aby audytor potrafił pytaniami zidentyfikować potrzeby ADO oraz ocenił i dokonał analizy czy przyjęte rozwiązania są dla Administratora właściwe. Audytor musi posiadać wiedzę o tym jak szukać i czego szukać. Zatrudnienie audytora zewnętrznego tzn. firmy specjalizującej się w tematyce ochrony danych oznacza, że nie wykorzystujemy do niego własnych pracowników np. IOD. Pomimo, że specyfika i cel audytów ( pkt 1,2) jest inny to na razie z uwagi na płytkość rynku wykonują go te same podmioty audytorskie

Czym się kierować przy wyborze audytora

Audyt dotyczący ochrony danych osobowych powinien być przeprowadzony rzetelnie bo inaczej po prostu nie ma sensu. Dlatego już na etapie wyboru audytora należy bardzo dokładnie przyjrzeć się kandydatowi /podmiotowi. Działalność audytora ODO – w odróżnienie od biegłych rewidentów badających sprawozdania finansowe – nie jest jeszcze prawnie regulowana, dlatego przed powierzeniem mu zadania trzeba sprawdzić jego doświadczenie, znajomość specyfiki branży, przyjrzeć się jego referencjom, zrealizowanym projektom, porozmawiać na tematy merytoryczne lub nawet zlecić wycinkowe zadanie z obszaru ochrony danych i w ten sposób sprawdzić jego wiedzę i fachowość. Bardzo dokładnie należy ustalić zakres przedmiotu umowy tzn. czy poza stwierdzeniem konkretnych niedociągnięć audytor przedstawi nam wnioski poaudytowe, szczegółowe rekomendacje dalszych działań i czy zaoferuje swoją pomoc ( na jakich warunkach) w ich wdrażaniu. Istotne jest zawarcie klauzuli o poufności lub odrębnej umowy o zachowaniu poufności NDA ( non –disclosure agrement) oraz umowy powierzenia przetwarzania danych. Nie mniej ważne jest zagwarantowania sobie odpowiedniego składu zespołu audytorskiego oraz praw autorskich do raportu audytowego.

Dlaczego zasadne jest przeprowadzenie audytu powdrożeniowego w zakresie RODO?

Od dnia 25 maja 2018 r. we wszystkich krajach Unii obowiązuje rozporządzenie RODO i od tej daty wszystkie podmioty mają obowiązek w swojej działalności stosować jego przepisy, których brak wdrożenia może skutkować znaczącymi konsekwencjami: zastosowanie środków naprawczych, kary finansowe, odpowiedzialność karna, cywilna, dyscyplinarna oraz utrata reputacji przez firmę. Ustawodawca unijny zapewnił czas na przygotowanie się do obowiązujących zmian dając 2-letnie vacatio legis. Część podmiotów wdrażających nowe standardy jeszcze przed obowiązującą datą skorzystała z pomocy wyspecjalizowanych ekspertów zewnętrznych ( kancelarie, firmy doradcze). Znacząca jednak większość przedsiębiorców zrobiła to we własnym zakresie i w ograniczony sposób, posługując się dostępnymi materiałami, poradnikami, wzorami itd. które z uwagi na brak w tym czasie ostatecznych rozwiązań prawnych czy interpretacji, nie zawsze były prawidłowe. Wielu przedsiębiorców wprowadzając w swoich firmach nowe przepisy o ochronie danych osobowych nie miało możliwości uwzględnić zapisów krajowej ustawy o ochronie danych osobowych opublikowanej 24 maja 2018 r a regulującej np. zapisy Kodeksu Pracy, czy zasady monitorowania wizyjnego i elektronicznego. Aktualnie jest procedowany w Sejmie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania przepisów RODO. Ten akt wprowadzi zmiany w kolejnych 168 ustawach branżowych co będzie miało na pewno znaczący wpływ na prawidłowość dokonanych dotychczas wdrożeń. Ponadto UODO bardzo późno, bo praktycznie na przełomie maja/czerwca 2018 r. rozpoczął publikację rekomendacji, wytycznych, porad oraz organizacji szkoleń dla Inspektorów Ochrony Danych (IOD), a do tego istniejący konflikt kompetencyjno-interpretacyjny pomiędzy Urzędem Nadzoru a Ministerstwem Cyfryzacji również nie ułatwia pozyskiwanie rzetelnych informacji przez podmioty rynkowe, które mogą się czuć trochę zdezorientowane. Pragnę podkreślić, że zgodność przetwarzania danych osobowych w firmie z obowiązującymi przepisami prawa to nie jest jednorazowe wdrożenie procedur i dokumentacji, lecz bieżące monitorowanie przyjętych rozwiązań pod kątem ich prawidłowości, adekwatności, aktualności i celowości. Podejście do ochrony danych wynikające z RODO zobowiązuje do aktywnej postawy, której wynikiem ma być szybka reakcja na zmieniające się warunki przetwarzania danych, tj. zakres, cel, czy też krąg odbiorców danych, skutkująca stosowaniem środków bezpieczeństwa i procedur odpowiednich do pojawiających się zagrożeń. Tak znaczące opóźnienia prac i regulacji legislacyjnych powoduje konieczność dokonania sprawdzeń prawidłowości naszych wdrożonych wcześniej procedur, procesów, dokumentacji.

Podsumowując

Biorąc pod uwagę że mamy już prawie 9 miesięcy doświadczenia stosowania RODO na pewno warto zastanowić się nad weryfikacją i ewentualną aktualizacją dokonanego wdrożenia. Zwłaszcza, że wdrożenie nowych przepisów nie jest procesem jednorazowym i zakończonym, ale dynamicznym, który stale trwa i ciągle się zmienia. Dlatego warto przeprowadzić audyt powdrożeniowy, który da odpowiedź czy zostały prawidłowo uchwycone zmiany w zmieniających się procesach lub czy zidentyfikowano nowe. Pamiętajmy że cena niedostosowania się do przepisów RODO jest ewidentnie dużo wyższa niż jakiekolwiek nakłady poniesione na przestrzegania prawa. Z opublikowanego niedawno Raportu amerykańskiej firmy IT Cisco Systems wynika, że firmy które prawidłowo dostosowały swoją działalność do przepisów RODO w porównaniu z firmami nieprzygotowanymi:
  • były o 15 % mniej narażone na incydenty;
  • miały mniejszą o 133 .000 rekordów liczbę wycieku danych;
  • poświęcały o 3 godziny mniej czasu na przywrócenie sprawności systemu IT.
Badanie przeprowadzono na podstawie ankiet ponad 3200 ekspertów ds. bezpieczeństwa z 18 krajów świata. Teresa Grabowska – Prezes TG- Doradztwo i Zarządzanie
Dumnie wspierane przez WordPress | Motyw: Futurio