Czy należy przeprowadzać audyt ochrony danych osobowych?
15 sty 2020
Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: „RODO”) nakłada na Administratorów danych obowiązek odpowiedzialnego podejścia do ochrony danych osobowych, innymi słowy dbania o wolności i prawa osób, których dane dotyczą, a w konsekwencji ustawicznego doskonalenia systemu ochrony danych osobowych i uwzględniania ryzyka naruszeń tych praw.
Administratorzy danych nie mają obowiązku przeprowadzania audytu z zakresu ochrony danych osobowych. RODO w żaden sposób nie określa ram, przedmiotu oraz charakteru audytu. Natomiast z zapisów RODO wynika obowiązek wykazywania przez Administratorów danych zgodności przetwarzania danych osobowych z jego przepisami oraz zastosowania się ich do wymogów zasad rozliczalności przetwarzania (art. 5 RODO), uwzględnienia przez nich charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z nim (art. 24 ust. 1 RODO). Nadto, zastosowane przez Administratorów danych wyżej wymienione środki powinny być poddawane przeglądom i aktualizowane.
RODO narzucając na Administratorów danych obowiązki związane z przetwarzaniem danych osobowych daje im jednocześnie swobodę w ich spełnieniu, nie dając żadnej instrukcji postępowania. Należy przy tym zaznaczyć, że RODO wymaga od Administratorów danych wykazywania, że te obowiązki zostały przez nich spełnione.
Podsumowując najczęstszym i najskuteczniejszym sposobem wykazywania zgodności przetwarzania danych osobowych z przepisami RODO jest przeprowadzenie audytu wewnętrznego.