Po co przeprowadzać audyt prawny w zakresie ochrony danych osobowych?
Audyt prawny w zakresie ochrony danych osobowych pozwala odpowiedzieć na pytanie, czy dotychczasowe postępowanie było zgodne z regulacjami prawnymi. Audyt pozwoli nam ocenić, gdzie jesteśmy i co mamy do zrobienia. Kolejność działań nie jest tutaj przypadkowa – najpierw badanie, potem wdrożenie. Dlaczego? Dlatego też żadna, choćby najlepsza, wzorcowa dokumentacja, nigdy nie będzie dostosowana konkretnie do potrzeb danego przedsiębiorstwa, a potrzeby te, co oczywiste, trzeba najpierw zidentyfikować. Może się na przykład okazać, że wcale nie ma konieczności, aby pytać klienta o zgodę na przetwarzania jego danych osobowych, a nawet więcej – że takie postępowanie jest po prostu nieprawidłowe.
Jak przeprowadzić audyt? Zakres audytu będzie ściśle uzależniony od stopnia obecnego wdrożenia przedsiębiorstwa w tematykę ochrony danych osobowych. Co do zasady – trzeba zacząć od podstaw i ustalić m.in.:
– jakie kategorie danych osobowych są lub będą przetwarzane i jakich podmiotów danych dotyczą,
– na jakiej podstawie dane osobowe mogą być przetwarzane,
– czy wypełniane są obowiązki informacyjne,
– czy respektowane są zasady przetwarzania danych m.in. minimalizacji danych, ograniczenia celu, czy ograniczenia przechowywania,
– czy dane są udostępniane lub powierzane do przetwarzania innym podmiotom i na jakiej podstawie,
– czy w sposób prawidłowy przetwarzane są dane osobowe pracowników i współpracowników,
– czy zostały zastosowane wymagane zabezpieczenia organizacyjne służące ochronie danych.
Dopiero tak przeprowadzony audyt może być podstawą i punktem wyjścia do postawienia diagnozy zastanego stanu faktycznego, a następnie sformułowania rekomendacji i wskazania sposobu ich wykonania. Oczywiście, aby można było mówić o spełnieniu wymogów prawnych w zakresie ochrony danych osobowych, należy postawić jeszcze kropkę nad “i” i wdrożyć wszystkie zalecenia i rekomendacje.