Baza wiedzy

Audyt ochrony danych osobowych to niezbędny element sprawnego i skutecznego zarządzania tą tematyką w każdej organizacji.

Na rynku dostępnych jest wiele firm, które oferują usługę przeprowadzenia "audytu" - niestety nie zawsze oznacza on to samo, a jego przeprowadzenie nie zawsze musi gwarantować klientowi ten sam zadowalający efekt.

I niestety paradoksalnie nie jest temu winien jedynie sam rynek (i poziom dostawców usług), ale również klient. Zwłaszcza ten niewymagający, który nie przygotował się właściwie do wyboru oferty. "Jakie wymagania klienta, taki rynek" - tak można podsumować ten problem w dużym skrócie.

A więc drogi kliencie jeśli bierzesz pod uwagę potrzebę przeprowadzenia audytu ochrony danych w swojej organizacji i oczekujesz na realne wsparcie w tym zakresie (i efekty prac, które przyniosą Ci korzyści) - musisz najpierw odrobić pracę domową i dobrze przygotować się do wyboru wykonawcy.

W tym artykule przedstawiam kilka podstawowych zasad, które warto przestrzegać w doborze wykonawcy audytu.

1) Najpierw ustal co chcesz osiągnąć zlecając audyt

Wbrew pozorom audyt ochrony danych może służyć osiągnięciu wielu różnych celów.

Zazwyczaj w naszych realiach audyt ten służy podstawowemu celowi jakim jest ustalenie na ile badana organizacja spełnia aktualne wymogi prawne. Jednakże sama informacja o poziomie spełnienia lub niespełnienia wymagań to zdecydowanie za mało. Wynikiem prac audytowych w takim wypadku powinno być ponadto co najmniej:

• wskazanie na czym dokładnie polegają ewentualne nieprawidłowości (w tym wyjaśnienie na czym polega konkretny wymóg prawny oraz z jakich powodów aktualnie nie jest spełniony);

• wskazanie sposobu prawidłowej realizacji konkretnego wymogu prawnego;

• przedstawienie oceny ryzyka prawnego (jaka odpowiedzialność prawna grozi organizacji i osobom w niej zatrudnionym jeśli konkretny wymóg prawny nadal nie będzie realizowany).

Aby audytor miał możliwość przedstawić swoją ocenę zgodnie z powyżej wskazanymi punktami, musi bardzo dokładnie poznać badaną organizację - nie tylko same procesy przetwarzania danych osobowych, ale również jej model biznesowy, sposób działania, strukturę organizacyjną - w tym poszczególne obszary funkcjonowania, a także w grupie kapitałowej jeśli takie istnieją. Musi również poznać zewnętrznych kontrahentów, w tym zakres usług świadczonych na rzecz badanego podmiotu (realizacja tych usług może wiązać się z potrzebą wzajemnego przekazywania danych osobowych).

I tu wyłania się kolejny cel audytu - dokładne poznanie organizacji i "zmapowanie" wszelkich procesów, które w tej organizacji mogą wiązać się z przetwarzaniem danych osobowych (lub na to przetwarzanie mogą mieć wpływ).

Biorąc pod uwagę unijne rozporządzenie o ochronie danych osobowych (RODO), które będziemy musieli stosować od maja 2018 roku, coraz więcej organizacji zastanawia się na ile wymagania z niego wynikające będą miały do nich zastosowanie. Audyt może służyć również temu celowi - ocenie na ile poszczególne wymagania prawne mają zastosowanie do konkretnej organizacji. Ale na to pytanie ponownie możemy sobie odpowiedzieć tylko wówczas, gdy audytor bardzo dobrze pozna specyfikę badanego podmiotu.

Ostatnia kluczowa kwestia to podjęcie decyzji, czy podmiot audytujący będzie odpowiedzialny jedynie za przeprowadzenie weryfikacji oraz opracowanie wyników audytu, czy też docelowo będzie nas wspierał w opracowaniu i wdrożeniu rekomendacji naprawczych.

W przypadku wyboru pierwszej opcji po przeprowadzonym audycie zostajemy "sami na placu boju" - w takim wypadku kluczowego znaczenia zaczyna nabierać to w jakiej formie zostały opracowane wyniki prac audytowych. Bez wątpienia profesjonalnie przeprowadzony audyt powinien być zakończony opracowaniem kompleksowego Raportu z audytu, a ponadto audytor powinien przeprowadzić spotkanie zamykające projekt, podczas którego wyjaśni wyniki prac oraz wszelkie ewentualne wątpliwości.

Raport w takim wypadku stanowi absolutny punkt wyjścia do dalszych prac wdrożeniowych, dlatego powinien zawierać co najmniej:

• szczegółowe wyjaśnienie sposobu prawidłowej realizacji poszczególnych obowiązków prawnych;

• opis stanu faktycznego zdiagnozowanego podczas audytu;

• opis nieprawidłowości prawnych;

• rekomendacje naprawcze;

• ocenę ryzyka (opis potencjalnej odpowiedzialności prawnej z tytułu braku realizacji wymagań prawnych);

• plan działań naprawczych zawierający zestawienie rekomendacji w kolejności uwzględniającej analizę ryzyka (priorytetyzacja działań naprawczych).

Ważne jest to, aby z Raportu dokładnie wynikało co i w jaki sposób powinniśmy zrobić, aby zrealizować zalecenia naprawcze.

W przypadku wyboru drugiej opcji (podmiot audytujący jednocześnie wspiera nas we wdrożeniu zaleceń poaudytowych) treść Raportu z audytu pozwala nam kontrolować na ile rekomendacje naprawcze są realnie opracowywane i przygotowywane do wdrożenia. 

2) Zorganizuj spotkanie z osobami, które docelowo mają przeprowadzić audyt

Absolutnie kluczową kwestią jest to by osoby odpowiedzialne za wybór ostatecznego wykonawcy audytu poświęciły swój czas na bezpośrednie spotkanie z konsultantami poszczególnych firm, których oferty brane są pod uwagę. Przy czym powinny być to osoby, które docelowo będą realizowały audyt (w przypadku wyboru oferty firmy, którą reprezentują).

Naprawdę szkoda marnować czas na spotkania ze sprzedawcami, zamiast z osobami które osobiście będą realizowały poszczególne prace. Spotkanie z tymi ostatnimi pozwala również na wstępną weryfikację, na ile osoby te posiadają realne doświadczenie w prowadzeniu tego typu projektów oraz jaką mają wizję ich realizacji.

Doświadczony audytor podczas spotkania bez problemu przedstawi krok po kroku realizację całego projektu, harmonogramy prac, szacowane zaangażowanie jakie będzie wymagane od pracowników podmiotu audytowanego oraz wiele innych istotnych informacji, które są gwarantem prawidłowo przeprowadzonego audytu. Takie osoby bez problemu powinny również umieć odpowiedzieć na szczegółowe pytania, które bez wątpienia pojawią się podczas prezentacji.

3) Poproś o imienne referencje, a nie referencje wystawione na firmę audytorską

Bardzo często stosowanym zabiegiem przez firmy oferujące usługi w zakresie ochrony danych osobowych jest przedstawianie referencji klientów, wystawionych na samą firmę. Trzeba w takim wypadku pamiętać, że tak wystawione referencje stanowią co najwyżej sumę pracy różnych konsultantów, którzy faktycznie zrealizowali prace będące przedmiotem referencji. 

Jaką mamy wówczas pewność, że konkretni audytorzy, którzy będą wykonywali dla nas prace faktycznie realizowali również te inne projekty?

Dlatego też bardzo ważną praktyką jest proszenie o referencje wystawione imiennie (tzn. takie, z których wynika, kto konkretnie z ramienia danej firmy audytorskiej realizował konkretny projekt). Dzięki temu możemy mieć pewność, że pozytywna ocena dotyczy tego samego konsultanta, który potencjalnie może pracować również dla nas.

4) Poproś o "próbki" wyników prac

Na przeprowadzenie prawidłowego audytu ochrony danych składa się szereg elementów i czynności, które powinien zrealizować audytor. Poszczególne elementy prac powinny być z kolei dokumentowane. Dotyczy to tak podstawowych kwestii jak np. ustalenie harmonogramu prac audytowych oraz poszczególnych czynności, które zostaną zrealizowane (np. harmonogram wizytacji audytowych i wywiadów przeprowadzanych z pracownikami) czy też kluczowych elementów z punktu widzenia wyników prac - jak np. przykładowy Raport z audytu.

Standardowo podczas rozmów z potencjalnymi klientami jestem proszony o przedstawienie:

• przykładowych ankiet audytowych;

• harmonogramów poszczególnych czynności realizowanych w trakcie audytu (np. planowanych wizytacji, spotkań, telekonferencji etc.);

• fragmentów projektu Raportu (dla ukazania z jakich elementów będzie się składał, w jaki sposób są przedstawione poszczególne opisy, czy treść jest czytelna, czy zalecenia naprawcze są opisane w wystarczająco precyzyjny sposób etc.).

Te wszystkie elementy składają się na mój warsztat pracy, a dla klienta stanowią potwierdzenie, że otrzyma dokładnie to czego oczekuje.

To są absolutnie podstawowe kwestie - jeżeli ktoś nie chce przedstawić tego typu informacji, klient nie może mieć pewności, że ostatecznie otrzyma to co mu się obiecuje.

5) Poproś o projekt umowy

Gdy już wybierzemy najodpowiedniejszą ofertę, pozostaje jeszcze zawarcie umowy. Ten etap potrafi jednak również przynieść przykre niespodzianki. Dosyć powszechnie dostawcy usług stosują bowiem zapisy, które mogą być bardzo ryzykowne dla klienta.

Do takich zapisów można zaliczyć w szczególności:

• umowne ograniczenie odpowiedzialności za wykonane prace (np. do kwoty wartości projektu lub do konkretnej kwoty wskazanej w umowie);

• zapisy związane z ochroną praw autorskich - zdarzają się przypadki, w których firmy audytorskie zastrzegają, iż opracowane przez nie wyniki prac stanowią utwór w rozumieniu prawa autorskiego i jego dalsze wykorzystywanie przez klientów uzależniają od charakteru udzielonej licencji lub też opłacenia przez klienta dodatkowego wynagrodzenia. Jest to szczególnie niebezpieczne w kontekście Raportu z audytu, z którego klient z pewnością chciałby korzystać bez ograniczeń;

• brak wskazania w umowie dokładnej listy konsultantów, którzy będą realizowali jej przedmiot (tu oczywiście ważne jest to, żeby byli to ci sami konsultanci, którzy brali udział we wcześniejszym spotkaniu - patrz punkt 2 powyżej);

• brak wskazania w umowie (np. w załączniku) dokładnego zakresu prac jakie zostaną wykonane w ramach audytu, a także harmonogramu realizacji i wykazu poszczególnych etapów prac - oczywiście wszystkie te elementy powinny być wcześniej szczegółowo przedstawione w ofercie.

Aby uniknąć ewentualnego zaskoczenia, warto poprosić o projekt umowy już na etapie rozpatrywania ofert.