Audyt ochrony danych osobowych

Audyt ochrony danych osobowych jest to pierwszy krok na drodze do uporządkowania spraw związanych z danymi osobowymi przetwarzanymi w firmie, a także pierwszy krok na drodze dostosowania się do wymogów RODO. Jest to szereg działań mających na celu wystawienie obiektywnej i niezależnej opinii dotyczącej funkcjonowania firmy lub instytucji pod kątem spełnienia obowiązku prawnego w zakresie ochrony danych osobowych.

Ważne jest by Audyt przeprowadzić profesjonalnie i kompleksowo, z zachowaniem należytej staranności. Rezultatem Audytu jest raport, który pokazuje wszystkie uchybienia i nieprawidłowości.

Jak przebiega audyt?

1. Analiza legalności, zakresu i celu przetwarzania danych osobowych

  • Analiza sposobu pozyskania danych osobowych
  • Analiza zgód na przetwarzanie danych osobowych
  • Analiza zakresu przetwarzania danych osobowych
  • Czy dane są przetwarzane zgodnie z celem ich pozyskania?

2. Analiza stanu faktycznego na podstawie obserwacji:

  • Czy zasady ochrony danych osobowych są stosowane w praktyce?
  • Czy dokumenty zawierające dane osobowe są odpowiednio zabezpieczone?
  • Czy pracownicy przestrzegają procedur ochrony danych osobowych?
  • Czy byli pracownicy nie mają już upoważnień dostępu do danych osobowych?
  • Czy niepotrzebne dokumenty są prawidłowo utylizowane?
  • Czy komputery zawierające dane osobowe są właściwie zabezpieczone?

3. Analiza posiadanej dokumentacji dotyczącej przetwarzania danych osobowych pod kątem:

  • Czy dokumenty są zgodne z obowiązującymi przepisami?
  • Czy zostały wydane pisemne upoważnienia osobom, które przetwarzają dane osobowe?
  • Czy te osoby przeszły szkolenie zapoznające z przepisami i zasadami bezpieczeństwa przetwarzania danych osobowych?
  • Czy jest prowadzona ewidencja upoważnień?
  • Czy są zgody na przetwarzanie danych osobowych?
  • Czy wyżej wspomniane zgody są zgodne z prawem i stanem faktycznym?
  • Czy treści posiadanych zgód nie trzeba uzupełnić o aspekt powierzenia przetwarzania danych osobowych?

4. Analiza informatycznych zabezpieczeń mających na celu bezpieczeństwo i ochronę przetwarzanych danych

  • Czy system przy pomocy którego są przetwarzane dane osobowe jest legalny?
  • Czy system przy pomocy którego są przetwarzane dane osobowe jest właściwie zabezpieczony przed dostępem do osób trzecich?
  • Czy przestrzegane są zasady rozpoczęcia i zakończenia pracy w systemie?
  • Czy pracownicy odchodząc od miejsca pracy w trakcie pracy zabezpieczają system?
  • Czy sprzęt na którym przetwarzane są dane osobowe jest odpowiednio zabezpieczony fizycznie? (np. przed wyniesieniem)
  • Czy dane, w stosunku do których został zrealizowany cel przetwarzania są usuwane?

Co dalej?

Po zakończonym audycie Audytor sporządza sprawozdanie i przekazuje je Administratorowi Danych Osobowych. Sprawozdanie obejmuje informację, czy czynności wykonywane przez Administratora danych i jego pracowników są zgodne z prawem oraz czy zapewniają bezpieczeństwo danych osobowych.

Ponadto sprawozdanie zawiera zapisy o czynnościach jakie należy wykonać aby wyeliminować nieprawidłowości. Takimi czynnościami może być przykładowo zakup niszczarki, inne ustawienie komputera, czy uporządkowanie dokumentów w segregatorze.

×