🛡️ AUDYT: IOD jako punkt
kontaktowy (art. 39 ust. 1 lit. e RODO (Rozporządzenie 2016/679))
🔢 Jak korzystać z arkusza
Każde pytanie oceń:
- 0
pkt – brak / nie istnieje
- 1
pkt – częściowo wdrożone / działa nieformalnie
- 2
pkt – w pełni wdrożone i działa w praktyce
📋 SEKCJA 1: Dostępność i
widoczność IOD (max 6 pkt)
☐ Czy dane kontaktowe IOD są
publicznie dostępne (www, polityka prywatności)?
☐ Czy kontakt jest bezpośredni
(np. dedykowany e-mail, nie formularz ogólny)?
☐ Czy komunikacja do IOD jest łatwa
i intuicyjna dla użytkownika?
Ryzyko przy niskim wyniku:
➡️
utrudnianie realizacji praw osób (naruszenie RODO)
➡️
skargi do Urząd Ochrony Danych Osobowych
📋 SEKCJA 2: Obsługa
organu nadzorczego (max 8 pkt)
☐ Czy IOD jest formalnie
zgłoszony do UODO?
☐ Czy istnieje procedura obsługi kontroli / zapytań
organu?
☐ Czy wiadomo, kto zbiera dane do odpowiedzi?
☐ Czy IOD koordynuje odpowiedzi (a nie tylko
przekazuje dalej)?
Ryzyko:
➡️
chaos komunikacyjny przy kontroli
➡️
niespójne lub błędne odpowiedzi
➡️
zwiększone ryzyko kary
📋 SEKCJA 3: Obsługa żądań
osób (DSAR) (max 10 pkt)
☐ Czy istnieje formalna
procedura obsługi żądań (art. 15–22)?
☐ Czy IOD nadzoruje realizację żądań?
☐ Czy firma kontroluje termin niezwłocznie ale nie
dłużej niż 1 miesiąc?
☐ Czy istnieje proces weryfikacji tożsamości?
☐ Czy pracownicy wiedzą,
gdzie przekazać żądanie?
Ryzyko:
➡️
naruszenie praw osób fizycznych
➡️
przekroczenie terminów
➡️
bezpośrednie skargi i postępowania
📋 SEKCJA 4: Centralizacja
komunikacji (max 6 pkt)
☐ Czy wszystkie sprawy dot.
danych trafiają do IOD?
☐ Czy istnieje jeden punkt wejścia
(mail / system)?
☐ Czy zapytania są
rejestrowane i śledzone?
Ryzyko:
➡️
„rozproszone RODO” w organizacji
➡️
brak kontroli nad komunikacją
➡️
utrata informacji
📋 SEKCJA 5: Obieg
informacji wewnętrznej (max 8 pkt)
☐ Czy są zdefiniowane osoby
kontaktowe w działach (IT, HR, marketing)?
☐ Czy IOD ma szybki dostęp
do informacji?
☐ Czy istnieją ustalone ścieżki komunikacji?
☐ Czy działy współpracują z IOD w praktyce?
Ryzyko:
➡️
opóźnienia odpowiedzi
➡️
błędne dane przekazywane do organu/osób
➡️
brak kontroli nad procesami
📋 SEKCJA 6: Incydenty
(naruszenia) (max 8 pkt)
☐ Czy pracownicy wiedzą, że
incydent zgłasza się do IOD?
☐ Czy istnieje procedura obsługi
naruszeń?
☐ Czy IOD koordynuje komunikację przy incydencie?
☐ Czy firma potrafi podjąć
decyzję w 72h?
Ryzyko:
➡️
brak zgłoszenia naruszenia
➡️
opóźnienia → wysokie kary
➡️
chaos komunikacyjny
📋 SEKCJA 7: Pozycja i
niezależność IOD (max 8 pkt)
☐ Czy IOD ma dostęp do zarządu?
☐ Czy nie ma konfliktu interesów?
☐ Czy IOD jest angażowany
w nowe projekty?
☐ Czy ma realny wpływ
na decyzje?
Ryzyko:
➡️
IOD „na papierze”
➡️
brak realnej funkcji punktu kontaktowego
➡️
naruszenie zasady niezależności
📋 SEKCJA 8: Dokumentacja
i dowody (max 6 pkt)
☐ Czy firma dokumentuje
zapytania i odpowiedzi?
☐ Czy istnieje rejestr komunikacji z organem/osobami?
☐ Czy można wykazać działania IOD (rozliczalność)?
Ryzyko:
➡️
brak dowodów zgodności (3+4+)
➡️
problem w trakcie kontroli
🧮 SCORING KOŃCOWY
Maksymalnie: 60 punktów
🟢 50–60 pkt → NISKI
POZIOM RYZYKA
- IOD
realnie pełni funkcję punktu kontaktowego
- system
działa operacyjnie
👉 Rekomendacja:
optymalizacja i automatyzacja
🟡 30–49 pkt → ŚREDNI
POZIOM RYZYKA
- funkcja
istnieje, ale ma luki
- możliwe
problemy przy kontroli lub incydencie
👉 Rekomendacja:
ustandaryzowanie procesów + szkolenia
🔴 0–29 pkt → WYSOKIE
RYZYKO
- funkcja
punktu kontaktowego jest pozorna
- duże
ryzyko naruszeń i sankcji
👉 Rekomendacja: pilne
wdrożenie procedur i centralizacji
🔥 BONUS: Szybki test
„reality check”
Jeśli choć jedno z poniższych = NIE → realne ryzyko:
☐ Czy każda skarga trafia do
IOD?
☐ Czy firma odpowie UODO w 48h?
☐ Czy pracownik wie, co zrobić z żądaniem RODO?
Brak komentarzy:
Prześlij komentarz