Czy IOD powinien sporządzić plan audytów?

Obowiązujące przed RODO przepisy dotyczące trybu i sposobu wykonywania zadań przez administratora bezpieczeństwa informacji (ABI) wskazywały, że tzw. sprawdzenia planowe ABI powinien przeprowadzać według planu sprawdzeń, który powinien obejmować okres nie krótszy niż kwartał i nie dłuższy niż rok. Czy w aktualnym stanie prawnym, w przypadku dużej organizacji zatrudniającej ponad 1200 osób (np. urząd wojewódzki) inspektor ochrony danych może zaplanować (podzielić) audyty na dwa lub trzy lata?

W aktualnym stanie prawnym nie ma przepisów, które wprost i jednakowo dla wszystkich wskazywałyby okres, na jaki należy opracować plan audytów. Niemniej, aby prawidłowo realizować zadanie z art. 39 ust. 1 lit. b RODO, warto planować swoje działania, tj. posiadać plan audytów.

Zgodnie z powołanym art. 39 ust. 1 lit. b RODO, inspektor odpowiada m.in. za monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk ustanowionych w tym zakresie przez administratora lub podmiot przetwarzający. Realizacja tego zadania przez inspektora nie powinna mieć charakteru jednorazowego, lecz charakter ciągły i długofalowy. Na tę aktywność składa się (jak wyjaśniono w Wytycznych dotyczących IOD) zbieranie informacji o prowadzonych procesach przetwarzania; analizowanie i ocena zgodności tego przetwarzania z wymogami oraz informowanie, doradzanie i rekomendowanie określonych działań administratorowi albo podmiotowi przetwarzającemu.

Zaplanowanie audytów - zwłaszcza, gdy IOD monitoruje przestrzeganie przepisów w dużej organizacji - pozwoli mu dobrze wywiązywać się z powyższego zadania. Taki plan powinien uwzględniać wiele czynników zależnych od specyfiki danego administratora i prowadzonych przez niego procesów (czynności) przetwarzania danych. Konieczne jest jego dostosowanie do przeprowadzonej w organizacji oceny ryzyka (do tego zobowiązuje IOD art. 39 ust. 2 RODO) i przypisanie wyższego priorytetu obszarom, które mają szczególne znaczenie dla systemu ochrony danych u konkretnego administratora. Pomocny w planowaniu audytów będzie rejestr czynności przetwarzania.

Plan ułatwia jak najlepsze i realne wykorzystanie zasobów, którymi IOD dysponuje. Tworzenie planu pomaga ustalić, czy zasoby te są wystarczające, a także, czy we wszystkich monitorowanych obszarach IOD ma zapewnione przez administratora współdziałanie ze strony osób przetwarzających dane osobowe i posiadających wiedzę na temat tego przetwarzania.

Sporządzając plan audytów, warto przemyśleć takie jego elementy, jak: częstotliwość przeprowadzania, metody, kryteria i zakres poszczególnych audytów (w zależności od obszaru poddawanego ocenie), tryb uruchamiania audytów, zasady i sposób jego dokumentowania (w tym czas przechowywania raportu z audytu), zasady i sposób raportowania jego wyników. Trzeba pamiętać, że - z uwagi na podejście oparte na ryzyku i nieprzewidziane zdarzenia, na które należy szybko reagować – plan audytów powinien przewidywać tryb doraźny.

Zarówno plan audytów, jak i wyniki z audytów są dla administratora (kierownictwa, kadry zarządzającej) ważnym elementem rozliczalności (art. 5 ust. 2 RODO), sprawowania kontroli, jak wykonywane są obowiązki z zakresu ochrony danych, czy funkcjonujące w podmiocie rozwiązania techniczne i organizacyjne są zgodne z przepisami oraz wewnętrznymi politykami, a także czy zostały skutecznie wdrożone. Mogą wskazywać, jakie obszary organizacji potrzebują pomocy i wiedzy fachowej, aby prawidłowo wykonywać powierzone zadania.

2021-02-01