Co to jest?
Audyt ochrony danych osobowych to zbiór czynności, które mają na celu przede wszystkim sprawdzenie zgodności działania przedsiębiorstwa z obowiązującymi aktualnie przepisami dotyczącymi ochrony danych osobowych. Ponadto na podstawie analizy tych czynności:
- ustala się administratora danych osobowych,
- określa się precyzyjnie zbiór danych osobowych,
- sprawdza się podstawy prawne przetwarzania tych zbiorów,
- analizuje się zgromadzoną dokumentację,
- weryfikuje się zabezpieczenia systemów informatycznych z uwzględnieniem zgodności z przepisami prawa,
- sprawdza się sposób wdrożenia oraz działania procedur dotyczących ochrony danych osobowych,
- weryfikuje się wszystkie elementy, które mają wpływ na bezpieczeństwo zbiorów.
Rodzaje audytu
W zależności od bieżącej sytuacji oraz określonych potrzeb przedsiębiorstwa przeprowadzić można następujące rodzaje audytów:
- wewnętrzny – koncentruje się na weryfikowaniu zgodności bieżących procedur firmy w zakresie przetwarzania, przechowywania, zabezpieczania, udostępniania, analizowania, usuwania danych osobowych z dokumentacją RODO oraz regulacjami prawnymi,
- procedur powiadamiania – analizowanie procedur pod kątem spełniania obowiązków informacyjnych wobec osób, których dane są przetwarzane.
- polityki bezpieczeństwa informacyjnego – analizie poddawana jest zgodność przetwarzania informacji z zasadami Polityki Bezpieczeństwa Informacji przyjętej przez firmę. Weryfikacji podlega sposób wypełniania obowiązków technicznych, formalno-prawnych, czy organizacyjnych.
- standaryzacyjny – ma za zadanie wskazanie możliwości ujednolicenia procedur w zakresie przetwarzania danych osobowych, wykorzystywanych w różnych systemach i bazach danych.
W zależności od potrzeb Klienta jesteśmy w stanie przeprowadzić kompleksowy lub częściowy audyt ochrony danych osobowych. Nie należy przy tym mylić audytu z kontrolą, gdyż zadania i cele obu tych procesów różnią się. Rolą audytora jest wsparcie przedsiębiorstwa, by kontrola wypadła pozytywnie. Pełni rolę doradcy, wskazując obszary, w których należy pracować, aby zapewnić prawidłowe funkcjonowanie. Może również zarekomendować konkretne rozwiązania.
Czy warto przeprowadzić audyt?
Jest to proces, który korzystnie wpływa na działanie przedsiębiorstwa w zakresie ochrony danych osobowych. Przeprowadzony audyt pozwala:
- zweryfikować prawidłowe działanie wdrożonych procedur,
- sprawdzić słabe strony systemu ochrony zbiorów z informacjami osobowymi,
- przeanalizować działanie zabezpieczeń w systemach informatycznych,
- wprowadzić niezbędne zmiany dla usprawnienia działania systemu lub dla zapewnienia jego zgodności z ogólnymi przepisami prawa.
Regularne przeprowadzanie audytów ochrony danych osobowych pozwala odpowiednio reagować na ewentualne nieprawidłowości w systemach zabezpieczeń oraz metodologii przetwarzania zbiorów. Umożliwia także dostosowanie do zmieniających się przepisów prawa, dzięki czemu przedsiębiorstwo jest przygotowane w każdej chwili na kontrolę.
Jak pracujemy?
Audyt przeprowadza wyznaczona przez nas osoba. W przypadku, gdy firma korzysta z naszej pomocy w ramach outsourcingu IOD czynności będzie przeprowadzała osoba odpowiedzialna także za administrowanie bezpieczeństwem informacji. Nasze prace rozpoczynamy z reguły od sprawdzenia dokumentacji. Weryfikujemy między innymi:
- czy przygotowana została Polityka Bezpieczeństwa oraz Instrukcje zarządzania systemami informatycznymi,
- czy firma posiada i prowadzi na bieżąco ewidencję upoważnień,
- czy osoby, które odpowiedzialne są za przetwarzanie danych osobowych posiadają pisemne upoważnienie,
- czy prowadzona dokumentacja jest zgodna z przepisami prawa.
Dalszym działaniem jest sprawdzenie stanu faktycznego wdrożonych i funkcjonujących procedur. W tym celu nie tylko sprawdzamy dokumentację, ale bazujemy na obserwacji, a w uzasadnionych przypadkach przeprowadzamy wywiad z pracownikami. Weryfikacja stanu faktycznego ma na celu przede wszystkim sprawdzenie czy opracowane zasady bezpieczeństwa faktycznie zostały wdrożone i obowiązują w praktyce. Zwieńczeniem naszych prac jest przygotowanie raportu z audytu, który przedkładamy administratorowi danych osobowych.