Audyt RODO

BDG HOSSA od kilku lat świadczy swoje usługi w zakresie ochrony danych osobowych m.in. opracowując niezbędną dokumentację i przejmując obowiązki Inspektora Ochrony Danych Osobowych, a wcześniej Administratora Bezpieczeństwa Informacji. W chwili obecnej chcielibyśmy Państwu zaproponować nową usługę obejmującą weryfikację zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa tzw. audit.

Celem przeprowadzenia auditu jest przede wszystkim określenie czy dane osobowe przetwarzane są zgodnie z obowiązującymi przepisami prawa i czy Przedsiębiorca czyli Administrator Danych Osobowych zapewnia odpowiedni, zgodny z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 /r. w prawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), poziom ich bezpieczeństwa.

Każdy klient po zakończeniu auditu otrzymuje raport informujący o stopniu spełnienia wymagań ogólnego rozporządzenia ochronie danych osobowych oraz zawierający wytyczne dalszego procesu dostosowawczego.

Audit przeprowadzany jest w oparciu o:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  • Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018, poz. 1000),
  • Obowiązujące u Klienta dokumenty związane z przetwarzaniem danych osobowych.

Usługa auditu obejmuje:

  1. Inwentaryzację posiadanych przez Klienta danych osobowych, w tym weryfikację poprawności prowadzenia rejestru czynności przetwarzania, rejestru kategorii przetwarzanych danych osobowych oraz poprawności podpisanych umów powierzenia.
  2. Weryfikację konieczności lub jej braku powołania Inspektora Ochrony Danych Osobowych.
  3. Weryfikację przetwarzania danych osobowych pod kątem:
    1. Legalności – czyli zbadanie czy dany podmiot przetwarza dane osobowe zgodnie z prawem (np. na podstawie zgody osoby zainteresowanej).
    2. Adekwatności – zbadanie zakresu przetwarzanych danych osobowych tzn. czy zakres przetwarzanych danych osobowych nie jest zbyt szeroki w stosunku do celu przetwarzania danych osobowych.
    3. Celowości – czyli badanie czy dane osobowe są przetwarzane w celu, w którym zostały zebrane.
  4. Weryfikację posiadanej przez Klienta dokumentacji związanej z przetwarzaniem danych osobowych tj. procedur, instrukcji, wytycznych, regulaminów itp.
  5. Weryfikację analizy ryzyka związanej z przetwarzaniem danych osobowych.
  6. Weryfikację konieczności przeprowadzenia Oceny skutków dla ochrony danych osobowych.
  7. Określenie sposobu przepływu danych pomiędzy systemami informatycznymi służącymi do przetwarzania danych osobowych.
  8. Audit zastosowanych środków mających zagwarantować bezpieczeństwo danych tj.:.
    1. Fizycznych zabezpieczeń pomieszczeń, w których dane osobowe są przetwarzane – m.in. zasad fizycznego dostępu do pomieszczeń, zasad dostępu do stref specjalnych, wdrożonej Polityki Kluczy, itp.
    2. Organizacyjnych – m.in. weryfikacja procedur przekazywania dokumentacji pomiędzy oddziałami/filiami, weryfikacja nadzoru nad uprawnieniami osób przetwarzających dane osobowe, określenie zasad dostępu zdalnego do zasobów, uszczegółowienie zasad korzystania z urządzeń mobilnych, ustalenie procedur powierzania przetwarzania danych osobowych innym podmiotom działającym na zlecenie Klienta, zasady przetwarzania danych osobowych udostępnionych przez inne podmioty.
    3. Technicznych – obejmujących zasady sporządzania i administrowania kopiami bezpieczeństwa, zasady odpowiedniej, bezpiecznej konfiguracji systemu informatycznego.
  9. Przedstawienie raportu końcowego określającego:
    1. Zauważone nieprawidłowości w procesie przetwarzania danych osobowych wraz ze wskazaniem jej podstawy prawnej – o ile występują.
    2. Zalecenia, wskazówki i wytyczne dalszego postępowania w celu dostosowania działalności firmy do wymagań ogólnego rozporządzenia ochrony danych.

Rozszerzeniem auditu jest usługa polegająca na dostosowaniu do wymagań ustawy o ochronie danych osobowych obejmująca m.in. opracowanie dokumentacji niezbędnej w zakresie przetwarzania danych osobowych uwzględniającej wymagania prawne oraz organizacyjne Klienta.