28 grudnia na stronie Ministerstwa Finansów został opublikowany formularz, który ma służyć pomocą audytorom wewnętrznym w dokonaniu oceny stopnia dostosowania jednostki do wymagań RODO. Formularz jest skonstruowany jako swoista, bardzo obszerna checklista obszarów i zadnień, które należy zweryfikować, aby ocenić stopień dostosowania do przepisów o ochronie danych osobowych.
W mojej ocenie, formularz jest bardzo drobiazgowy – do stosowania z umiarem. Niektóre pytania nawiązują do poprzednio obowiązujących przepisów (zrównanie zbiorów danych z procesami przetwarzania). Nie widać (niestety) tego nowego ujęcia ochrony danych, a twórcy formularza nie dołożyli starań, aby pytania nawiązywały do „ducha” RODO.
I tak: sprawdzamy czy „upoważnienia do przetwarzania DO” funkcjonują u danego ADO, i choć w RODO ich nie ma, polski ustawodawca nam stosowanie tych upoważnień i tak narzuci. Okazuje się, że nie jesteśmy jeszcze gotowi odejść od „papierologii” i tam, gdzie może być łatwiej i zgodnie z unijnymi przepisami, to postanawiamy sobie utrudnić pracę. Weryfikujemy „Czy przewidziano procedury UŁATWIAJĄCE realizację wniosku” bez uprzedniego sprawdzenia czy jakieś w ogóle są, czy się sprawdzają, czy wnioski wpłynęły i jakimi kanałami w ogóle mogą być wnoszone. Ponadto nie widzę sensu rozdrabniania się nad obszarem dotyczącym umów powierzenia przetwarzania DO, z rozbiciem na poszczególne zapisy art. 28, z uwagi na różnorodność zawieranych umów.
Reasumując, moim zdaniem formularz może posłużyć jako dobry punkt wyjścia dla audytora. RODO bazuje (a przynajmniej powinno) na podejściu opartym na ryzyku, co oznacza, że przepisy rozporządzenia każdy ADO dostosowuje do swoich procesów. Tak szczegółowy materiał może okazać się niepraktyczny i bardziej szkodzić jednostce audytowanej niż pomagać, jeśli audytor nie podejmie trudu i nie zgłębi tematu przed przystąpieniem do pracy.
Poniżej zamieszczam link do formularza i jestem ciekawa Waszego zdania.
28 grudnia na stronie Ministerstwa Finansów został opublikowany formularz, który ma służyć pomocą audytorom wewnętrznym w dokonaniu oceny stopnia dostosowania jednostki do wymagań RODO. Formularz jest skonstruowany jako swoista, bardzo obszerna checklista obszarów i zadnień, które należy zweryfikować, aby ocenić stopień dostosowania do przepisów o ochronie danych osobowych.
W mojej ocenie, formularz jest bardzo drobiazgowy – do stosowania z umiarem. Niektóre pytania nawiązują do poprzednio obowiązujących przepisów (zrównanie zbiorów danych z procesami przetwarzania). Nie widać (niestety) tego nowego ujęcia ochrony danych, a twórcy formularza nie dołożyli starań, aby pytania nawiązywały do „ducha” RODO.
I tak: sprawdzamy czy „upoważnienia do przetwarzania DO” funkcjonują u danego ADO, i choć w RODO ich nie ma, polski ustawodawca nam stosowanie tych upoważnień i tak narzuci. Okazuje się, że nie jesteśmy jeszcze gotowi odejść od „papierologii” i tam, gdzie może być łatwiej i zgodnie z unijnymi przepisami, to postanawiamy sobie utrudnić pracę. Weryfikujemy „Czy przewidziano procedury UŁATWIAJĄCE realizację wniosku” bez uprzedniego sprawdzenia czy jakieś w ogóle są, czy się sprawdzają, czy wnioski wpłynęły i jakimi kanałami w ogóle mogą być wnoszone. Ponadto nie widzę sensu rozdrabniania się nad obszarem dotyczącym umów powierzenia przetwarzania DO, z rozbiciem na poszczególne zapisy art. 28, z uwagi na różnorodność zawieranych umów.
Reasumując, moim zdaniem formularz może posłużyć jako dobry punkt wyjścia dla audytora. RODO bazuje (a przynajmniej powinno) na podejściu opartym na ryzyku, co oznacza, że przepisy rozporządzenia każdy ADO dostosowuje do swoich procesów. Tak szczegółowy materiał może okazać się niepraktyczny i bardziej szkodzić jednostce audytowanej niż pomagać, jeśli audytor nie podejmie trudu i nie zgłębi tematu przed przystąpieniem do pracy.
Poniżej zamieszczam link do formularza i jestem ciekawa Waszego zdania.
LINK
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie