Przepisy o ochronie danych osobowych obowiązują w Polsce od ponad 25 lat. Pierwszym aktem prawnym, który kompleksowo regulował zasady przetwarzania danych osobowych była nieobowiązująca już ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, która implementowała do polskiego porządku prawnego dyrektywę 95/46/WE PE i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Od 25 maja 2018 roku stosowane jest natomiast ogólne rozporządzenie o ochronie danych osobowych (RODO). Tuż przed wejściem w życie nowych przepisów oraz przez pewien okres po rozpoczęciu ich stosowania zauważalnie wzrosło zainteresowanie usługami audytowo-wdrożeniowymi związanymi z RODO. Obecnie zainteresowanie to zmalało. Niestety nadal wiele organizacji, w szczególności małych oraz średnich przedsiębiorstw, nie wdrożyło w praktyce wszystkich wymogów wynikających z RODO. Część podmiotów albo w ogóle nie przeprowadziła działań dostosowawczych, albo zrealizowała je naprędce starając się wprowadzić jakiekolwiek rozwiązania, które miały na celu jak najszybsze przygotowanie organizacji do stosowania nowych przepisów. W takich przypadkach często w ogóle nie przeprowadzono uprzednio audytu ochrony danych osobowych, bądź taki audyt został przeprowadzony bardzo pobieżnie. Niestety, jeżeli przeprowadzone w pośpiechu działania wdrożeniowe nie były dostosowane do potrzeb i możliwości danej organizacji mogą one prowadzić obecnie do złudnego poczucia bezpieczeństwa. Można nawet zaryzykować stwierdzenie, iż w niektórych podmiotach przepisy o ochronie danych osobowych zostały wdrożone jedynie teoretycznie. Właściwe wdrożenie wymogów wynikających z RODO nie jest bowiem możliwe bez przeprowadzenia kompleksowego audytu w obszarze ochrony danych osobowych. Wstępny audyt ochrony danych osobowych należy przeprowadzić zawsze jeśli w danym podmiocie nie wdrożono do tej pory RODO lub też wdrożenie RODO nie było poprzedzone tego typu audytem. Wstępny audyt ochrony danych osobowych warto także przeprowadzić przed rozpoczęciem nowej działalności gospodarczej. Audyt ochrony danych osobowych w pierwszej kolejności powinien pozwolić na weryfikację, czy dana organizacja poprawnie zidentyfikowała wszystkie procesy przetwarzania danych osobowych. Dopiero po poznaniu wszystkich procesów przetwarzania danych osobowych można dokonać rzetelnej oceny dotyczącej realizacji poszczególnych obowiązków wynikających z RODO. Celem wstępnego audytu jest przy tym przede wszystkim zdiagnozowane wszystkich nieprawidłowości w obszarze ochrony danych osobowych, dlatego powinien on stanowić punkt wyjścia dla dalszych działań mających na celu dostosowanie danej organizacji do wymogów RODO.
Należy mieć jednak na uwadze, że właściwe wdrożenie przepisów o ochronie danych osobowych nie jest działaniem jednorazowym, ponieważ proces ten musi uwzględniać zmieniające się stale okoliczności zarówno wewnątrz organizacji (np. nowe procesy związane z przetwarzaniem, zmieniające się rozwiązania techniczne) jak i na zewnątrz organizacji (np. zmieniające się standardy bezpieczeństwa, nowelizacje przepisów, itp.). Poza tym stosowanie w praktyce określonych rozwiązań, mających na celu zapewnienie zgodności z obowiązującymi wymogami prawnymi, także powinno podlegać okresowej weryfikacji. Dlatego też poza audytem wstępnym każdy podmiot powinien co pewien czas przechodzić audyty okresowe, w ramach których następuje weryfikacja wdrożenia i stosowania środków technicznych i organizacyjnych mających na celu zapewnienie zgodności z przepisami o ochronie danych osobowych przy uwzględnieniu zmieniających się okoliczności.
Każdy podmiot, który w ramach prowadzonej działalności przetwarza dane osobowe powinien zatem przeprowadzić zarówno wstępny audyt ochrony danych osobowych, jak również przeprowadzać audyty okresowe w celu bieżącej weryfikacji zgodności organizacji z wymogami wynikającymi z przepisów o ochronie danych osobowych.
Jeśli jesteś zainteresowany przeprowadzeniem kompleksowego audytu ochrony danych osobowych zapoznaj się z naszą ofertą audytową.