Audyt RODO jak wizyta u dentysty. Boli bardziej gdy odkładasz.

Audyt RODO jak wizyta u dentysty. Boli bardziej gdy odkładasz.

 

Każda firma która odkłada audyt RODO robi to z tego samego powodu. Bo wszystko działa. Nikt nie skarży. UODO nie puka do drzwi. Po co ruszać coś co nie boli?

Dokładnie tak samo myślisz o zębie który nie boli.

Znam ten schemat na pamięć.

Firma wdroża RODO w 2018 roku. Polityki napisane, rejestr uzupełniony, klauzule informacyjne przyklejone do formularzy. Szkolenie przeprowadzone. Temat zamknięty.

Potem życie idzie dalej. Firma rośnie. Zatrudnia nowych ludzi. Wdraża nowe systemy. Zaczyna współpracować z nowymi dostawcami. Otwiera nowy dział. Przenosi dane do chmury.

Dokumentacja z 2018 roku leży w szufladzie. Nikt jej nie aktualizuje bo nikt nie ma czasu. Nikt nie ma czasu bo wszystko działa. Wszystko działa bo nikt jeszcze nie sprawdził.

I tak mija rok. Potem trzy lata. Potem ktoś składa skargę do UODO albo przychodzi kontrola.

I wtedy okazuje się że dokumentacja opisuje firmę która już nie istnieje.

Co się zmienia w firmie gdy nikt nie patrzy

Weź dokumentację RODO z 2018 roku i porównaj z tym co firma robi dziś.

Inne systemy IT. Inne integracje. Inne procedury rekrutacji. Inni dostawcy którym przekazujesz dane klientów. Nowe produkty które wymagają innego przetwarzania. Nowe działy które mają dostęp do danych których wcześniej nie miały.

Każda z tych zmian powinna znaleźć odzwierciedlenie w dokumentacji. Aktualizacja rejestru czynności przetwarzania. Nowe lub zmienione umowy powierzenia. Zaktualizowane klauzule informacyjne. Nowe analizy ryzyka.

Nie znalazła. Bo nikt nie pomyślał że zmiany biznesowe mają konsekwencje dla dokumentacji RODO.

To jest dokładnie ten ząb który nie boli. Jeszcze.

Czym jest audyt i czego się spodziewać

Audyt RODO to przegląd tego czy rzeczywistość firmy zgadza się z tym co opisuje dokumentacja i z tym czego wymagają przepisy.

Nie jest to wizyta z wyrokiem. Jest to diagnoza – lista tego co działa, co wymaga korekty i co jest realnym ryzykiem.

Dobry audyt odpowiada na kilka konkretnych pytań.

Czy rejestr czynności przetwarzania opisuje to co firma faktycznie robi – a nie to co robiła kilka lat temu? Czy wszystkie podmioty którym przekazujesz dane osobowe są objęte umowami powierzenia? Czy klauzule informacyjne które dajesz klientom i pracownikom są aktualne? Czy dostęp do danych jest ograniczony do osób które go potrzebują? Czy wiesz co zrobić gdy przyjdzie wniosek o dostęp do danych albo gdy zdarzy się incydent?

Odpowiedź "nie wiem" na którekolwiek z tych pytań jest sygnałem że audyt był potrzebny wcześniej.

Różnica między bólem teraz a bólem za rok

Audyt przeprowadzony proaktywnie – zanim cokolwiek się stanie – kończy się listą rzeczy do zrobienia. Zazwyczaj kilka do kilkunastu działań. Część prostych. Część wymagających więcej pracy. Wszystkie wykonalne bez presji czasu.

Audyt wymuszony przez kontrolę UODO albo skargę klienta – kończy się tym samym zestawem działań, plus postępowanie administracyjne, plus stres, plus konieczność odpowiadania na pytania organu w trakcie naprawiania błędów.

Zakres pracy jest podobny. Warunki w których ją wykonujesz – kompletnie różne.

Dentysta który leczy próchnicę w zębie który boli od tygodnia robi to samo co dentysta który leczy próchnicę wykrytą podczas rutynowego przeglądu. Tylko że w pierwszym przypadku ząb jest już w znacznie gorszym stanie. I pacjent jest w znacznie gorszym nastroju.

Kiedy ostatnio sprawdziłeś czy dokumentacja opisuje Twoją firmę

Nie chodzi o to żeby mieć dokumentację. Chodzi o to żeby dokumentacja opisywała rzeczywistość.

Stos papierów z 2018 roku nie chroni przed niczym jeśli firma wygląda dziś inaczej niż wtedy. UODO przy kontroli nie pyta "czy masz dokumentację." Pyta "czy dokumentacja jest aktualna i czy zgadza się z tym co faktycznie robisz."

Niezgodność między dokumentacją a rzeczywistością to nie jest formalność. To jest dowód że administrator nie zarządza ochroną danych – tylko udaje że zarządza.

Co zrobić dziś

Jedno proste ćwiczenie które możesz zrobić bez angażowania zewnętrznego specjalisty.

Weź rejestr czynności przetwarzania i przejdź przez każdą pozycję. Czy ta czynność nadal ma miejsce? Czy dane są przetwarzane przez te same systemy co opisano? Czy jest aktualna umowa z każdym dostawcą który przetwarza dane w Twoim imieniu?

Jeśli odpowiedź na którekolwiek pytanie brzmi "nie wiem" albo "chyba tak ale nie jestem pewien" – wiesz gdzie zacząć.

Audyt nie musi być projektem na kwartał. Może być przeglądem który IOD robi raz w roku. Może być checklistą którą wypełnia compliance manager przy każdej większej zmianie w firmie.

Ważne żeby był. I żeby był regularny.

Dentystyczna logika compliance

Nikt nie lubi chodzić do dentysty. Ale każdy kto regularnie chodzi wydaje na zęby mniej niż ten kto trafia do gabinetu z bólem który trwa od tygodnia.

Audyt RODO działa tak samo.

Regularne przeglądy są tańsze, mniej stresujące i dają lepsze wyniki niż reaktywne naprawianie szkód po tym gdy coś poszło nie tak.

Ząb który nie boli dziś – zaboli bardziej za rok.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.