Audyt GIODO

BDG HOSSA od kilku lat świadczy swoje usługi w zakresie ochrony danych osobowych m.in. opracowując niezbędną dokumentację. W chwili obecnej chcielibyśmy Państwu zaproponować nową usługę obejmującą weryfikację zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa tzw. audit.

Celem przeprowadzenia auditu jest przede wszystkim określenie czy dane osobowe przetwarzane są zgodnie z obowiązującymi przepisami prawa i czy Przedsiębiorca czyli Administrator Danych Osobowych zapewnia odpowiedni, zgodny z ustawą, poziom ich bezpieczeństwa. Każdy klient po zakończeniu auditu otrzymuje raport informujący o stopniu spełnienia wymagań ustawy o ochronie danych osobowych oraz zawierający wytyczne dalszego procesu dostosowawczego. Każdy raport wskazuje jednoznacznie podstawę prawną stwierdzonej niezgodności oraz zalecenia, których realizacja zapewni odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych.

Audit przeprowadzany jest w oparciu o:

  • Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016r., poz. 922 z późń. zm.),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024).
  • Obowiązujące u Klienta dokumenty związane z przetwarzaniem danych osobowych.
  • Wytyczne, decyzje i orzeczenia Generalnego Inspektora Ochrony Danych Osobowych.

Usługa auditu obejmuje:

  1. Inwentaryzację posiadanych przez Klienta zbiorów danych osobowych wraz z weryfikacją obowiązku zarejestrowania zbioru danych osobowych.
  2. Weryfikację przetwarzania danych osobowych pod kątem:
    1. Legalności – czyli zbadanie czy dany podmiot przetwarza dane osobowe zgodnie z prawem (np. na podstawie zgody osoby zainteresowanej).
    2. Adekwatności – zbadanie zakresu przetwarzanych danych osobowych tzn. czy zakres przetwarzanych danych osobowych nie jest zbyt szeroki w stosunku do celu przetwarzania danych osobowych.
    3. Celowości – czyli badanie czy dane osobowe są przetwarzane w celu, w którym zostały zebrane.
  3. Weryfikację posiadanej przez Klienta dokumentacji związanej z przetwarzaniem danych osobowych tj. procedur, instrukcji, norm, zwyczajów pod kątem zgodności z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
  4. Określenie sposobu przepływu danych pomiędzy systemami informatycznymi służącymi do przetwarzania danych osobowych.
  5. Audit zastosowanych środków mających zagwarantować bezpieczeństwo danych tj.:.
    1. Fizycznych zabezpieczeń pomieszczeń, w których dane osobowe są przetwarzane – m.in. zasad fizycznego dostępu do pomieszczeń, zasad dostępu do stref specjalnych, wdrożonej Polityki Kluczy, itp.
    2. Organizacyjnych – m.in. weryfikacja procedur przekazywania dokumentacji pomiędzy oddziałami/filiami, weryfikacja nadzoru nad uprawnieniami osób przetwarzających dane osobowe, określenie zasad dostępu zdalnego do zasobów, uszczegółowienie zasad korzystania z urządzeń mobilnych, ustalenie procedur powierzania przetwarzania danych osobowych innym podmiotom działającym na zlecenie Klienta.
    3. Technicznych – obejmujących zasady sporządzania i administrowania kopiami bezpieczeństwa, zasady odpowiedniej, bezpiecznej konfiguracji systemu informatycznego.
  6. Przedstawienie raportu końcowego określającego:
    1. Zauważone nieprawidłowości w procesie przetwarzania danych osobowych wraz ze wskazaniem jej podstawy prawnej – o ile występują.
    2. Zalecenia, wskazówki i wytyczne dalszego postępowania.
  7. Wystawienie przez BDG HOSSA Certyfikatu Zgodności gwarantującego bezpieczeństwo przetwarzanych danych osobowych oraz poprawność ich przetwarzania zgodnie z obowiązującymi przepisami prawnymi.

Rozszerzeniem auditu jest usługa polegająca na dostosowaniu do wymagań ustawy o ochronie danych osobowych obejmująca m.in. opracowanie lub zmianę Polityki Bezpieczeństwa lub Instrukcji Zarządzania Systemem Informatycznym, opracowanie wymaganych wzorów tj. imiennego upoważnienia do przetwarzania danych osobowych, ewidencji osób upoważnionych, Polityki Kluczy, oświadczeń osób przetwarzających dane osobowe i innych dokumentów gwarantujących odpowiednie środki techniczne i organizacyjne podnoszące bezpieczeństwo zbiorów danych osobowych.

Po zakończeniu procesu dostosowawczego do obowiązujących wymagań formalno-prawnych Klient otrzymuje od konsultanta BDG HOSSA formularz rejestracji zbioru danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych.

Poszczególne etapy świadczenia usługi przedstawiono poniżej: