Po zakończeniu prac osoba przeprowadzająca audyt przygotowuje raport w dwóch egzemplarzach. W przypadku audytu okresowego jeden egzemplarz otrzymuje kierownik kontrolowanej jednostki lub komórki organizacyjnej, który może wypowiedzieć się w sprawie postawionych zarzutów i wniosków. Po ustaleniu ostatecznej wersji raportu kontrolujący informuje CIO lub zarząd o konieczności podjęcia działań naprawczych.

Roczna ocena stanu funkcjonowania systemu ODO powinna być uzupełniona o raport z przeglądu stanu bezpieczeństwa danych osobowych. Ma to na celu przedstawienie zaleceń z poprzedniej kontroli, podsumowanie stanu systemu ODO, omówienie wyników przeprowadzonych kontroli za czas od ostatniego audytu, jak również stwierdzonych nieprawidłowości. Ponadto w protokole powinny być zawarte wnioski dotyczące podjęcia niezbędnych działań naprawczych i zapobiegawczych. Należy również odnotować prace, jakie zostały już przeprowadzone lub są w trakcie realizacji, oraz propozycje dalszych działań. W raporcie powinny być omówione zarejestrowane incydenty i powody ich wystąpienia.

Zobacz również:

• App Store zniknie z Chin?
• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Rząd Ghany pracuje nad regulacjami dotyczącymi AI

Przeprowadzenie tak dokładnego audytu oraz dbałość o raportowanie, dowodzące zaangażowania działu IT w ochronę danych osobowych, skutkuje zmniejszeniem ryzyka dla firmy.

Kontrola GIODO

Zasady prowadzenia kontroli wynikają z ustawy o ochronie danych osobowych. Inspektorzy GIODO mają prawo wstępu do wszystkich pomieszczeń, gdzie przetwarzane są dane osobowe, wglądu w dokumenty zawierające dane osobowe, wglądu w systemy informatyczne przetwarzające dane osobowe, mogą żądać złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego oraz zlecać sporządzanie ekspertyz i opinii. Warto przygotować się na dodatkowe pytania inspektorów.

Kontrola powinna być prowadzona w obecności przedstawiciela firmy. Celem kontroli jest ustalenie stanu faktycznego przestrzegania przez przedsiębiorstwo przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń.

Inspektorzy sporządzają z poszczególnych czynności kontrolnych protokoły, które stanowią załączniki do protokołu kontroli. W przypadku zidentyfikowania nieprawidłowości mogą zobligować kontrolowaną firmę do usunięcia uchybień, uaktualnienia, uzupełnienia lub usunięcia danych osobowych, stworzenia dodatkowych zabezpieczeń lub zabronienia udostępniania danych osobowych innym podmiotom. W przypadku rażącego naruszenia zasad bezpieczeństwa danych osobowych GIODO może wszcząć postępowanie administracyjne, dyscyplinarne lub inne przewidziane prawem. W praktyce może się to wiązać z powiadomieniem organów ścigania.

Warto dodać, że sumiennie odrobiona praca domowa z kontroli wewnętrznej okaże się nieoceniona podczas kontroli GIODO.

Zagadnienia poruszane w artykule wskazują zaledwie na część procesu ochrony danych osobowych. Wdrażanie i opracowanie procedur zajmuje, w zależności od specyfiki i wielkości firmy, od miesiąca do kilku miesięcy. Wymaga to pracy zespołowej i dobrego wsparcia z strony CIO. Zawsze należy zdawać sobie sprawę z ryzyka, które może wystąpić, gdy brakuje odpowiednich procedur bezpieczeństwa ochrony danych osobowych, i wynikających z tego negatywnych konsekwencji dla CIO oraz firmy.