Audyty

Audyty ochrony danych są najważniejszym elementem nadzoru nad poprawnością procesu przetwarzania danych. Można i należy stosować go przed podjęciem prac nad zorganizowaniem systemu ochrony danych osobowych w organizacji, jak również na kolejnych etapach w celu sprawdzenia przygotowania organizacji z całości lub fragmentu zagadnień objętych audytem początkowym.

Nieco inny audyt proponujemy tym, którzy chcieliby sprawdzić rozwiązania techniczne funkcjonujące lub, co gorsza, nie funkcjonujące, w organizacji. Ma on nieco inny zakres i wymaga zaangażowania innych osób niż podczas audytu początkowego.

Po przeprowadzonym audycie otrzymacie Państwo nie tylko obraz tego, jak Wasza organizacja w praktyce chroni dane osobowe i czy przyjęte rozwiązania zgodne są z obowiązującymi przepisami, ale również szereg zaleceń i praktycznych wskazówek, które poprawią bezpieczeństwo przetwarzanych przez Was danych.

Poniżej znajdziecie Państwo zakres standardowego audytu wstępnego,
wraz z przykładowymi pytaniami audytowymi.

1
Identyfikacja rodzaju danych przetwarzanych w jednostce (zbiory)
- Czy określono kategorie osób, których dane są przetwarzane?
- Czy określono rodzaj i kategorie danych?
- Czy określono przesłanki legalności przetwarzania z art. 6 i art. 9 RODO?
2
Identyfikacja czynności przetwarzania danych (procesy)
- Czy zidentyfikowano czynności przetwarzania dla każdej z kategorii osób?
- Czy określono podstawy prawne dla każdej z ww. czynności?
- Czy określono okres retencji danych dla poszczególnych czynności przetwarzania?
3
Analiza zasadności wyznaczenia Inspektora ochrony danych
- Czy wykonano analizę zasadności wyznaczenia Inspektora?
- Czy zawiadomiono Prezesa UODO o wyznaczeniu Inspektora?
- Czy umieszczono Inspektora w strukturze organizacyjnej jednostki?
- Czy określono obowiązki Inspektora?
4
Analiza dokumentacji ochrony danych (polityka ochrony danych lub polityka bezpieczeństwa)
- Analiza realizacji praw osób fizycznych
- Czy zidentyfikowano czynności przetwarzania, dla których będą realizowane poszczególne prawa osób fizycznych?
- Czy opracowano procedury realizacji ww. praw?
- Jak w praktyce wygląda realizacja wybranych praw?
5
Analiza warunków wyrażenia zgody na przetwarzanie danych
- Czy treść zgód jest zgodna z przepisami?
- W jaki sposób można wycofać się ze zgody i czy jest on tak prosty jak jej wyrażenie?
- Czy świadczone są usługi społeczeństwa informacyjnego wobec dzieci?
6
Analiza dopełnienia obowiązku informacyjnego
- Czy klauzule są dostępne dla osób fizycznych (strona www, tablica ogłoszeń itd.)?
- Czy klauzule są zrozumiałe przez docelowego odbiorcę?
- Czy w klauzulach znajdują się wymagane informacje?
- Czy zachodzi sytuacja zwolnień od stosowania ww. obowiązku?
7
Analiza uregulowania kwestii powierzania danych
- Przegląd istniejących umów powierzenia oraz umów, w których zachodzi przetwarzanie danych osobowych w imieniu administratora;
- Propozycja właściwych zapisów dotyczących powierzenia i przykłady aneksów istniejących umów.
8
Analiza uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych
- W jakich sytuacjach powinna być stosowana ochrona danych w fazie projektowania?
- Czy opracowano na tę okoliczność odpowiednie procedury w tym zakresie?
- Czy rozwiązania informatyczne wspomagają realizację domyślnej ochrony danych?
9
Analiza wykonania Rejestru czynności przetwarzania
- Czy spełnione są wymogi formalne dla RCP z art. 30 RODO;
- Czy zachodzi potrzeba utworzenia Rejestru kategorii czynności przetwarzania (Czy ADO w określonych sytuacjach jest również podmiotem przetwarzającym?).
10
Analiza zasad przekazywania danych do państw trzecich lub organizacji międzynarodowych
- Czy dane osobowe przekazywane są do państw trzecich lub organizacji międzynarodowych?
- Jeśli tak, jak wyglądają procedury takiego przekazywania?
11
Sprawdzenie wykonania analizy ryzyka oraz potrzeby wykonania oceny skutków przetwarzania danych (DPIA)
- Analiza metodologii opracowania analizy ryzyka (czy odnosi się do praw osób);
- Czy opracowano plan postępowania z ryzykiem?
- Czy ww. dokumenty są zaakceptowane przez ADO?
- Czy występuje potrzeba wykonania oceny skutków?
- Jeśli tak, czy jest ona wykonana?
12
Analiza realizacji zasady rozliczalności
- Czy ADO potrafi wykazać stosowanie się do wszystkich zasad ochrony danych wymienionych w art. 5 RODO?
- Czy bezpieczeństwo przetwarzania określone w art. 32 RODO jest realizowane? W jakim stopniu?
13
Analiza zautomatyzowanego przetwarzania danych
- Czy dochodzi do profilowania oraz systematycznej i kompleksowej oceny czynników osobowych?
- W jakim celu wykorzystywane są dane pochodzące z profilowania?

Zapraszamy do kontaktu

Jeżeli zainteresowała Państwa nasza oferta, zapraszamy do kontaktu lub wypełnienia formularza ofertowego.

Formularz ofertowy

Poznaj nasze usługi

Nasza strona internetowa używa plików cookies w celach statystycznych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Dowiedz się więcej

Audyty

Identyfikacja rodzaju danych przetwarzanych w jednostce (zbiory)

Identyfikacja czynności przetwarzania danych (procesy)

Analiza zasadności wyznaczenia Inspektora ochrony danych

Analiza dokumentacji ochrony danych (polityka ochrony danych lub polityka bezpieczeństwa)

Analiza warunków wyrażenia zgody na przetwarzanie danych

Analiza dopełnienia obowiązku informacyjnego

Analiza uregulowania kwestii powierzania danych

Analiza uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych

Analiza wykonania Rejestru czynności przetwarzania

Analiza zasad przekazywania danych do państw trzecich lub organizacji międzynarodowych

Sprawdzenie wykonania analizy ryzyka oraz potrzeby wykonania oceny skutków przetwarzania danych (DPIA)

Analiza realizacji zasady rozliczalności

Analiza zautomatyzowanego przetwarzania danych

Zapraszamy do kontaktu

Poznaj nasze usługi

Bieżąca opieka

Dokumentacja

Audyty

Szkolenia