Zamierzasz wykonać audyt RODO samodzielnie lub zamówić usługę u zewnętrznego wykonawcy? Dowiedz się na czym ta usługa tak naprawdę polega i za co ewentualnie zapłacisz.
Kiedy wykonano pierwsze audyty ochrony danych osobowych?
Na samym wstępie – ważny komunikat:
Metodologia i praktyka audytów ochrony danych osobowych, to bardzo młoda sfera usług doradczych.
Obecnie słowo audyt większości przedsiębiorców kojarzy się z audytem finansowym. I nie ma w tym nic dziwnego. Audyt finansowy jestnajdłużej praktykowany i najlepiej wystandaryzowany.
Aby dobrze oddać skalę czasową należy zauważyć, że audytem finansowym branża doradcza zajmuje się od wieku XIX, a więc… już ponad dwa stulecia!
Audyt ochrony danych osobowych to usługa, która jest rozwijana dopiero od połowy lat dziewięćdziesiątych ubiegłego wieku. Jak łatwo policzyć – to nieco ponad 20 lat, a więc jedno zero mniej na osi czasu!
Dopiero pojawienie się Dyrektywy 95/46/WE (poprzedniczki RODO), a w Polsce ustawy o ochronie danych osobowych z 1997 roku, spowodowało zainteresowanie biznesu i sfery publicznej audytem pod kątem danych osobowych.
O pierwszych takich audytach, możemy więc mówić w Polsce od roku 1997.
Na przestrzeni następnych lat powstała pewna (niewielka) ilość firm koncentrująca swoją działalność na ochronie danych osobowych. Te organizacje miały czas i zasoby na stopniowe udoskonalanie metodyki oraz sposobów prezentowania wniosków płynących z przeprowadzonego audytu.
RODO i co dalej?
RODO stosowane jest od 25 maja 2018 roku i spowodowało konieczność przemodelowania podejścia do audytu ochrony danych osobowych.
System audytu oparty na weryfikacji przepisów ustawy o ochronie danych osobowych z 1997 roku musiał zostać poważnie zmodyfikowany. Oczywiście wcześniejsze doświadczenia procentują i są doskonałą bazą do budowy metodologii zgodnej z RODO.
Do czego nam potrzebny audyt RODO?
Audyt RODO porównam do zaawansowanego skanu tkanek miękkich, jakim jest rezonans magnetyczny.
Jeśli chcemy podjąć skuteczne leczenie (np. uszkodzonego stawu), to nie da się tego zrobić bez dobrej diagnozy. A tę można postawić tylko dysponując odpowiednio przeprowadzonym badaniem.
Bez dobrze postawionej diagnozy może okazać się, że cała kosztowna terapia (wdrożenie) przyniesie więcej szkód, niż korzyści.
Jest jeszcze jedna duża wartość dodana posiadania raportu z audytu. Jedno z pierwszych pytań, które zadają inspektorzy UODO w toku kontroli, brzmi: „na jakiej podstawie ustalili Państwo ten stan faktyczny – czy możemy zobaczyć jakiś raport z audytu?”
Niezależnie wiec od tego czy działamy własnymi siłami (wewnętrznie), czy też szukamy zewnętrznego dostawcy – zanim zabierzemy się za wdrażanie RODO – najpierw postawmy precyzyjną diagnozę!
Na jakie pytania powinien dać odpowiedź audyt RODO?
Idąc tokiem medycznych skojarzeń – jeśli mamy dobrze wykonane zdjęcie ze specjalistycznym opisem (raport z audytu), to nie pozostaje nam nic innego, jak wybrać metodę leczenia (wdrożenia ogólnego rozporządzenia o ochronie danych).
- Czy musimy powołać Inspektora Ochrony Danych?
- Jakie działania na danych osobowych mają miejsce w naszej organizacji (więcej – w kolejnych akapitach),
- Czy procesy przetwarzania danych mają oparcie w przesłankach legalności RODO?
- Czy nie przetwarzamy zbyt dużo danych osobowych (zasada minimalizacji)?
- Czy obecnie stosowane rozwiązania są skuteczne i działają?
- Czy stosujemy tzw. profilowanie kwalifikowane?
- Czy nasi pracownicy znają obecnie funkcjonujące procedury i jaki jest poziom ich świadomości swoich obowiązków?
- Do jakich zewnętrznych podmiotów transferujemy dane osobowe (wykaz powierzeń przetwarzania danych oraz udostępnień danych).
- Czy transfery danych do zewnętrznych podmiotów mają oparcie w postaci umów powierzenia lub przesłanek legalności udostępnienia danych?
- Czy stosujemy prawidłowe obowiązki informacyjne?
- Czy stosujemy prawidłowe klauzule zgód?
- W jaki sposób realizowane są prawa osób, których dane są przetwarzane?
- Czy kontrolujemy zabezpieczenia informatyczne i techniczne (o tym szerzej w kolejnych akapitach)?
- Czy nasza organizacja ma opracowaną strukturę systemu ochrony danych? Czy każdy wie, za co odpowiada w ramach tej struktury?
- Czy pracownicy wiedzą, jak zachować się w razie naruszenia ochrony danych?
- Czy jesteśmy w stanie wykazać przestrzeganie przepisów przez naszą organizację (zasada rozliczalności).
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Audyt to nie jest wdrożenie
Warto mocno rozdzielić dwa obszary: obszar audytu, który wcześniej porównałem do badania rezonansem magnetycznym oraz obszar wdrożenia, który możemy porównać do podjęcia leczenia.
Żeby zobrazować to przykładami – audyt może zawierać precyzyjnie zmapowane procesy. Ale nie będzie zawierał samego Rejestru Czynności Przetwarzania.
Raport z audytu może zawierać wskazanie, że brakuje klauzul informacyjnych w miejscach X, Y i Z. Ale nie będzie on uwzględniał treści samych klauzul informacyjnych.
Raport może zawierać rekomendację dotyczącą wdrożenia procedury DPIA, ale nie będzie uwzględniał samej procedury.
Audyt ma za to umożliwić lepsze poznanie własnej organizacji i stanowić punkt wyjścia przed rozpoczęciem wdrożenia.
Często podczas omawiania raportu z audytu, może okazać się, że wspólnie znajdziemy optymalny sposób wdrożenia w organizacji.
Klauzule informacyjne oraz klauzule zgód
Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.
Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.
Mapowanie procesów, a audyt RODO
Kolejny ważnym elementem audytu RODO jest mapowanie procesów przetwarzania danych osobowych.
Dobrze przygotowana mapa procesów, to fundament wiedzy o tym co dzieje się z danymi osobowymi w naszej organizacji.
Jeśli audyt obejmuje też mapowanie procesów to dowiemy się między innymi:
- Na jakiej podstawie prawnej przetwarzamy dane osobowe w każdym z procesów,
- Komu są one powierzane,
- Czy są transferowane do państw trzecich
- A także wiele innych istotnych informacji. Jakich? Samemu mapowaniu procesów już poświęciliśmy odrębny artykuł, zapraszam do lektury – Rejestr Czynności Przetwarzania – mapowanie procesów
Mapa procesów pozwoli nam też na sprawne przygotowanie Rejestru Czynności Przetwarzania, które jest jednym z podstawowych elementów wdrożenia RODO.
Audyt RODO bez mapowania procesów – nie jest audytem nieprawidłowym. Jak już wskazałem na początku artykułu – nie istnieje uniwersalny wzór audytu RODO.
Niemniej jednak w audytach, które prowadzimy, mapowanie procesów stanowi jeden z najbardziej czasochłonnych elementów.
Jeśli decydujemy się na wersję audytu bez mapowania procesów – powinno to też znaleźć odzwierciedlenie w cenie audytu.
Rejestr czynności przetwarzania (RCP) i RKCP
Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć?
Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce.
Sposób prowadzenia audytu – mailowe checklisty czy audyt na miejscu?
Zbieranie informacji potrzebnych do przygotowania raportu, może odbywać się w różny sposób. Wyróżnię 3 różne praktyki w tym zakresie.
Audyt „na żywioł”
W takiej sytuacji audytor przyjeżdża do siedziby i zbiera informacje bezpośrednio od pracowników. Zaletą takiej formy zbierania informacji jest konieczność większej inicjatywy ze strony audytora. To audytor zbiera informacje, a później na ich bazie przygotuje raport.
Jeśli jednak audytor nie ma przygotowanych checklist, oznacza to, że każdy audyt może być trochę inny. Jeśli audytor będzie miał akurat gorszy dzień, to może zapomnieć o zadaniu ważnych pytań i tym samym istotne wnioski nie znajdą się w raporcie.
Audyty nie bazujące na checklistach są przeważnie wykonywane przez osoby zajmujące się RODO, działające na własnych rachunek lub przez nowe organizacje, które jeszcze nie wypracowały własnej metodologii realizacji usług.
Audyt usystematyzowany, „DIY – zrób to sam”
Wiele razy w toku naszej pracy spotkaliśmy się z audytami prowadzonymi zwłaszcza przez duże korporacje, które polegały na wysyłce checklist do audytowanych pracowników.
Taka forma audytu świadczy o tym, że podmiot audytujący dopracował się już pewnej metodologii swoich działań. Może ją też zmieniać i udoskonalać.
Ma jednak trzy istotne wady:
- Niższa wiarygodność wyników audytu. Bazując tylko i wyłącznie na checklistach, ograniczamy do minimum bezpośredni element audytu. Tracimy przez to całkowicie „element zaskoczenia” i możliwość identyfikacji niezgodnych z RODO obszarów, które nie zostaną wskazane przez pracownika.
- Czasem ze względu na chęć zaprezentowania się z jak najlepszej strony (mało kto lubi wskazywać na uchybienia we własnej komórce organizacyjnej), a czasem z braku odpowiedniej wiedzy, odpowiedzi udzielone przez audytowanych przez nas w ten sposób pracowników mogą pozostawiać wiele do życzenia. Mało kto w statystycznej organizacji zna się przecież na pojęciach takich jak „powierzenie”, „profilowanie”, czy „szczególne kategorie danych”.
- Ukryte koszty. Przerzucając ciężar realizacji audytu na pracowników, odciągamy ich na wiele godzin od realizacji ich codziennych obowiązków. Strata będzie tym większa, jeśli checklista będzie zawierała mało precyzyjne pytania. Warto uwzględnić ten koszt przy kalkulacji, który rodzaj audytu sprawdzi się najlepiej w naszej organizacji. Dodatkowo, audyty RODO „DYI – zrób to sam” są powszechnie znienawidzone przez pracowników. Audytowani pracownicy mają często poczucie przerzucania na nich realnego ciężaru wykonania audytu, obawiają się też (zazwyczaj słusznie!), że nie są osobami kompetentnymi do udzielenia odpowiedzi na dane pytanie.
Audyt „systematycznie i bezpośrednio”
Forma checklist wypełnianych na miejscu przez audytorów jest według mnie formą optymalną z perspektywy Klienta. To audytor bierze na siebie ciężar wyjaśniania pojęć z formularza i jego uzupełnienie.
Zachowujemy też „element zaskoczenia”. Nikt tak jak osoba z zewnątrz (ekspert firmy doradczej lub niezależny wewnętrzny audytor) nie jest w stanie obiektywnie zidentyfikować niezgodności z audytowanym obszarem.
Dodatkowo, formularze gwarantują pewną powtarzalność i możliwość stałego udoskonalania procedur audytowych.
Oczywiście są też wady takiego rozwiązania – z uwagi na większe zaangażowanie audytorów – takie rozwiązanie może być też droższe, niż audyt bazujący na zdalnie wysyłanych informacjach.
Jeśli zamierzamy prowadzić audyt wewnętrzny lub dokonać wyboru podmiotu audytującego – warto od razu ustalić preferowaną przez nas formę realizacji audytu.
Czy audyty RODO różnych dostawców są ze sobą kompatybilne?
Przykład idealny
To niestety tylko idealna wizja, która byłaby możliwa do realizacji, gdyby każdy raport składał się z podobnych elementów.
W praktyce sytuacja przypomina niestety nieco bardziej tę znaną ze sfery IT, kiedy często nowy wykonawca woli wykonać system od podstaw, niż wdrażać się w prace prowadzone przez poprzedników.
Czas pokaże co wydarzy się dalej. Jeśli uda się wypracować pewne wspólne rynkowe standardy – na pewno będzie to z korzyścią dla Klientów.
Na ten moment, to co możemy zrobić to samodzielnie ustalić co dokładnie otrzymamy w ramach usługi nazwanej raportem z audytu.
Audyt RODO, a sfera IT
Było to jak najbardziej działanie celowe. Prawnicy pracujący nad treścią RODO zdawali sobie sprawę z tego, że postęp w sferze IT bardzo szybko wyprzedzi każde regulacje prawne.
Przykładowo: RODO nie zastrzega składni hasła czy częstotliwości jego zmiany.
Każdy administrator danych sam decyduje o tym, jakieś środki zabezpieczeń IT będą adekwatne do zabezpieczenia jego infrastruktury.
Nasze podejście do obszaru IT jest następujące. Rekomendujemy zbadanie poziomu bezpieczeństwa technicznego w organizacji – ale sprawami IT najlepiej zajmą się firmy stricte informatyczne lub wewnętrzne działy IT.
Dlatego my w Lex Artist, w ramach audytu RODO sprawdzamy obszar IT wyłącznie pod kątem, czy Administrator danych podjął jakiekolwiek działania zmierzające ku weryfikacji stosowanych zabezpieczeń. Sprawdzamy czy zabezpieczenia zostały wylistowane i czy możemy uznać obszar IT za odpowiednio zaadresowany.
Prezentacja raportu
Raport z audytu może być wielostronicowym dokumentem. Jednak nie wszyscy pracownicy Administratora danych, będą mieli czas na jego precyzyjną analizę.
Dlatego niezwykle ważna jest zwięzłe zaprezentowanie Zarządowi kluczowych wniosków i obserwacji płynących z audytu. Możemy też podzielić prezentację na poszczególne działy audytowanej organizacji, np. kadry, marketing etc.
Warto od razu ustalić z firmą audytującą, czy w ramach usługi otrzymamy również zaprezentowanie raportu w naszej siedzibie.
Jak zweryfikować doświadczenie audytorów?
Jeśli zdecydujemy się na realizację audytu RODO za pośrednictwem zewnętrznej firmy, warto zastosować więcej niż jedno kryterium wyboru – 100% cena.
Jednym z nich powinno być doświadczenie. Tylko jak w nowej, „postRODOwskiej” rzeczywistości ocenić obiektywnie to kryterium?
Od 25 maja 2018 nie działa jawny rejestr Administratorów Bezpieczeństwa Informacji. Do tej pory prowadzony przez Regulatora rejestr mógł pomóc zweryfikować doświadczenie audytora.
Mogliśmy sprawdzić w ilu organizacjach (i czy w ogóle) pełni funkcję ABI, a tym samym mieć pewne pojęcie o jego praktycznym doświadczeniu.
Dzisiaj rejestr IOD nie jest jawny, więc pozostają nam inne formy sprawdzenia doświadczenia. Ja zalecam w szczególności:
- Pochwalenie się referencjami dotyczącymi wdrożeń i audytów przed 25 maja 2018. W ten sposób nie bierzemy pod uwagę dostawców, którzy dopiero uczą się audytu ochrony danych osobowych,
- Sprawdzenie jak długo istnieje firma realizująca dla nas audyt. Jeśli powstała w 2018 roku, to wygląda na to, że powstała właśnie z okazji RODO. Nie ma w tym nic złego – ale nie spodziewajmy się dużego doświadczenia po audytorach.
- Weryfikacja specjalizacji podmiotu audytującego. Jeśli obok RODO w liście specjalizacji znajdziemy: prawo karne gospodarcze, prawo energetyczne, prawo pracy, własność intelektualną, prawo handlowe (..) i 10 innych specjalizacji… to z całą pewnością ten podmiot nie specjalizuje się w ochronie danych osobowych.
Koszt audytu vs. stopień szczegółowości audytu
Dopiero wiedząc na czym dokładnie polega audyt RODO i z jakich elementów się składa, możemy zestawić ze sobą i porównać oferty różnych dostawców.
Proponuję krótką checklistę, która pozwoli nam ocenić usługę oferowaną przez dostawcę pod kątem szczegółowości i stopnia zaawansowania:
- Audyt będzie prowadzony w naszej siedzibie (TAK/NIE)
- Metodologia realizacji audytu bazuje na checklistach, które wypełnia audytor (TAK/NIE)
- Raport z audytu zostanie zaprezentowany w siedzibie (TAK/NIE)
- W ramach audytu zostanie zbadany poziom świadomości pracowników pod kątem ochrony danych osobowych (TAK/NIE)
- Raport będzie zawierał zmapowane procesy przetwarzania danych (TAK/NIE)
Podsumowanie
Mimo, że branża audytu ochrony danych osobowych, nie jest jeszcze tak wystandaryzowana jak branża audytu finansowego, to możemy wyróżnić pewne elementy wspólne dla każdego audytu RODO.
Im lepiej znamy usługę, którą zamawiamy tym łatwiej będzie nam dokonać optymalnego dla naszej organizacji wyboru.
Jeśli realizujemy audyt samodzielnie – zastosujmy się do poniższych wytycznych, którymi kierują się również profesjonalne firmy doradcze:
- Wyraźnie oddzielamy etap audytu od etapu wdrożenia.
- Działania audytowe kończymy przygotowaniem pisemnej wersji raportu.
- Raport zawiera ocenę kluczowych z perspektywy RODO obszarów (por. akapit „na jakie pytania powinien dać odpowiedź audyt RODO”).
- Raport prezentujemy w formie krótkiej prezentacji (kluczowe wnioski).
- Dopiero po zaprezentowaniu raportu i ustaleniu z Zarządem sposobu implementacji, przechodzimy do kolejnego etapu - wdrożenia procedur RODO
Źródła:
- 10 letnie doświadczenie pełnienia funkcji ABI/IOD lub wsparcia ABI/IOD w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI) i ponad 500 wdrożeń systemów ochrony danych osobowych,
- Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych ( U. z 2018 r. poz. 1000, 1669).
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych).
15 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam,
Zbieramy i przetwarzamy wyłącznie dane osób w związku z pełnionymi przez nie obowiązkami zawodowymi (dane pracodawcy, telefon służbowy, mail służbowy, niekiedy dane prywatne, np. mail czy telefon, o ile są one lub mogą być wykorzystywane do celów służbowych). Ściślej rzecz biorąc, są to dziennikarze i kontrahenci (poddostawcy). Natomiast NIE gromadzimy ani nie przetwarzamy danych konsumentów.
Czy nowe prawo nas dotyczy i w jakim stopniu?
Z góry dziękuję.
Zasada jest tutaj taka sama jak przy obecnej ustawie – im więcej danych osób fizycznych (również pracowników), tym więcej regulacji, których powinniśmy się trzymać. I tym większy wpływ RODO na aktualne procesy.
Odpowiadając na Pana pytanie: tak RODO na pewno wpłynie na procesy przetwarzania danych w Pana organizacji.
W jakim stopniu?
To już jest pytanie na które można odpowiedzieć po wnikliwym zapoznaniu się z procesami przetwarzania danych.
W formie komentarza możemy zasygnalizować kilka obszarów, które RODO modyfikuje szczególnie mocno:
1) Transfery danych do państw trzecich,
2) Powierzenia danych zewnętrznym firmom (outsourcingi),
3) Dokumentacje ochrony danych osobowych i obowiązki osoby odpowiadającej za dane osobowe w organizacji (ABI, IOD).
4) Zgody na przetwarzanie danych i obowiązki informacyjne,
5) Działanie w przypadku incydentów ochrony danych osobowych,
Bardzo dziękuję.
Ile czasu potrzeba na taką analizę i jaki byłby orientacyjny koszt – albo jakie dane powinienem podać, żeby dało się go choć w przybliżeniu określić?
Wszystko zależy od skali i stopnia skomplikowania procesów przetwarzania danych osobowych. Zapytanie o orientacyjne koszty prosimy kierować do
OK, dziękuję.
Dzień dobry,
Proszę o wyjaśnienie, czy można już stosować RODO, tzn. np. wystąpić do banku lub innego podmiotu przetwarzającego dane i już dziś powołać się na podstawę prawną RODO żądając usunięcia danych osobowych z bazy tego podmiotu. Z góry dziękuję i pozdrawiam, Magdalena
Witamy 🙂
Na obecną chwilę nie można powoływać przepisów RODO jako podstawy prawnej, będzie to możliwe od 25 maja 2018 r 🙂 pozdrawiamy serdecznie
Serdecznie dziękuję!
Także trzeba pamiętać, że nie usuną nam danych z banku/instytucji gdy są one dalej używane np. kredyt mieszkaniowy na 30 lat.
Witam,
Pracuję w urzędzie, do którego wpływają wnioski o udostępnienie informacji publicznej. Wnioskodawcy (osoby fizyczne) podają często dane adresowe w celu umożliwienia przesłania im odpowiedzi pocztą tradycyjną.
Czy musimy (jako ADO) wobec tych osób wykonywać obowiązek informacyjny, o którym mowa w Art. 24 odo oraz Art. 13 RODO ? Moje wątpliwości spowodowane są tym, że my jako urząd nie wychodzimy z inicjatywą zbierania danych. Obywatele z własnej inicjatywy przekazują nam swoje dane osobowe.
Byłbym baaaardzo wdzięczny za odpowiedź.
Pozdrawiam, Krzysztof Gorgol
Witamy serdecznie,
w kwestii realizowania obowiązku informacyjnego w opisanym przez Pana przypadku zajął już stanowisko GIODO
http://www.giodo.gov.pl/pl/321/1492
W pierwszej kolejności należy ocenić, czy w momencie pozyskiwania danych, osoba której dane dotyczą posiada wszystkie informacje wymienione w art. 24 ust. 1 ustawy o ochronie danych osobowych.
W praktyce urzędy najczęściej spełniają obowiązek informacyjny zamieszczając stosowną informację na BIP-ie lub tablicy ogłoszeń urzędu.
Mam nadzieję, że udało mi się rozwiać Pana wątpliwości. Jeśli nie, zapraszam do skorzystania z naszego wsparcia https://blog-daneosobowe.pl/wsparcie/
pozdrawiamy
Dziękuję bardzo.
Bardzo dobry artykuł, dziękuje.
W zasadzie różnica pomiędzy ABI a IOD jest właściwie żadna.
Z RODO trzeba uważać, gdyż kary za jego nieprzestrzeganie są ogromne. Obowiązki firmy na temat danych osobowych są ogromne i na prawdę warto ich przestrzegać 😉
Dobrze wyjaśnione. Postaram się przeprowadzić taki audyt rodo również u siebie 🙂