Wstęp do audytu RODO - czyli o tym jak to się zaczyna
- Piotr Kawczyński
- 31 maj 2024
- 1 minut(y) czytania
Zaktualizowano: 4 cze 2024
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakłada na administratorów obowiązek nadzorowania i sprawdzania przestrzegania przepisów w organizacjach.
Nie jest to nowość, gdyż na gruncie nieobowiązującego już stanu prawnego zarówno administrator danych jak i Administrator Bezpieczeństwa Informacji byli zobowiązani do zapewniania przestrzegania przepisów o ochronie danych osobowych (obowiązujące od 30 maja 2015 r. rozporządzenie Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji). Odbywało się to w szczególności poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych oraz zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
W Rozporządzeniu odnajdziemy ten obowiązek przynajmniej w dwóch artykułach tj. art. 32 ust. 1 lit. d) oraz art. 39 ust. 1 lit. b). W pierwszym z nich przepis wprowadza obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania – zarówno przez administratora jak i podmiot przetwarzający. Drugi przepis nakłada na Inspektora Ochrony Danych obowiązek monitorowania przestrzegania Rozporządzenia oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym audyty.
Czym są audyty w RODO? Jaki jest cel audytu i co daje Administratorowi danych? O tym wkrótce w kolejnych wpisach.