Plan przeprowadzenia audytu

Rzetelnie przeprowadzony audyt jest podstawą do analizy wszystkich operacji przetwarzania danych osobowych w organizacji. Dokumentacja audytu oraz powstały po audycie raport stanowią pierwszy krok do wprowadzenia rejestru czynności przetwarzania danych osobowych.

Przegląd pozwoli na ocenę zasobów pod względem prawidłowości i adekwatności do celów ich przetwarzania. W przypadku wychwycenia uchybień wszystkie rozbieżności pomiędzy celami zbierania danych a ich adekwatnością muszą być niezwłocznie usunięte lub sprostowane. Audyt stanowi początek prac związanych z procesem naprawczym, polegającym na:

  • aktualizacji wszystkich przetwarzanych danych,
  • uporządkowaniu dokumentacji,
  • aktualizacji i opracowaniu procedur przetwarzania danych.

Dobrze przeprowadzony audyt jest podstawą do wdrożenia efektywnych polityk i procedur przetwarzania danych osobowych, które pozwolą administratorowi danych uzys­kać pełną kontrolę nad procesem przetwarzania danych, a w szczególności zaimplementować narzędzia mające na celu zapewnienie rozliczalności tego procesu, by każdy, kto przetwarza dane osobowe, był w stanie wykazać, że robi to w zgodzie z zasadami przyjętymi w RODO.

Audyt ochrony danych osobowych, a właściwie audyt zgodności przetwarzania danych osobowych z przepisami prawa, jest działaniem, które administrator danych powinien realizować cyklicznie. Potrzeba ta wynika z każdej zmiany przepisów prawa, które bezpośrednio lub pośrednio dotyczą przetwarzania danych osobowych. Przykładem takiej zmiany może być np. zmiana Kodeksu pracy. Zmiana przepisów prawa pociąga za sobą konieczność sprawdzenia danego systemu przetwarzania danych osobowych i oceny, czy nowelizacja przepisów nie spowodowała potrzeby wprowadzenia zmiany w procesie przetwarzania danych osobowych oraz zmian w dokumentacji, formularzach, zabezpieczeniach, regulaminach lub innych sferach związanych z przetwarzaniem danych osobowych w organizacji.
 

Ważne!

Audyt powinien stanowić podstawę do analizy ryzyka bezpieczeństwa przetwarzania danych osobowych, powinien być punktem wyjścia do tworzenia systemu ochrony danych osobowych lub do jego korygowania oraz dostosowywania do wymogów prawnych i sytuacji w organizacji.