Procedura prowadzenia audytów w zakresie ochrony danych osobowych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Audyt systemu przetwarzania danych osobowych

Nie rzadziej niż co 12 miesięcy inspektor ochrony danych osobowych oraz administrator systemu informatycznego przeprowadzają audyt zgodności systemu przetwarzania danych osobowych z zatwierdzoną dokumentacją bezpieczeństwa.
Na potrzeby audytu wewnętrznego opracowany zostaje plan audytu zawierający wykaz osób biorących w nim udział, jak również zakres audytu zatwierdzany przez administratora danych osobowych.
Zespół audytujący po przeprowadzonym audycie opracowuje raport celem poinformowania administratora danych osobowych o wynikach audytu i zaleceniach poaudytowych.
W trakcie audytu weryfikowane są zapisy zdarzeń (logów systemowych) związanych z bezpieczeństwem systemu IT, ze szczególnym uwzględnieniem kont użytkowników.
Audytowi podlegają zasady przetwarzania danych osobowych oraz system ich zabezpieczenia i nadawania upoważnień do przetwarzania danych osobowych.

Audyt sprawdza m.in.:

  • legalność (art. 6 i 9 RODO),
  • realizację obowiązku informacyjnego (art. 13 i 14 RODO),
  • realizację praw osób, których dane przetwarzamy (art. 15 i rozdz. III sekcja 3 RODO),
  • powierzanie danych osobowych (art. 28 RODO),
  • „szczególną staranność” – nadawanie upoważnień do przetwarzania danych/prowadzenie ewidencji (art. 29 RODO),
  • bezpieczeństwo danych (art. 32 RODO),
  • zgodność rejestru czynności przetwarzania ze stanem faktycznym (art. 30 RODO),
  • ocenę skutków dla ochrony danych (art. 35 RODO),
  • stosowanie domyślnej ochrony danych i ochrony danych w fazie projektowania (art. 25 RODO).

Przegląd posiadanych aktywów musi w ramach audytu dać m.in. jasny pogląd na niżej wymienione zagadnienia:

  • Jakie dane są przetwarzane w organizacji (inwentaryzacja/sprawdzenie zinwentaryzowanych zbiorów)?
  • Czyje dane osobowe są przetwarzane (np. pracownicy, klienci, potencjalni klienci)?
  • Jaki jest zakres przetwarzanych danych?
  • Jaki jest cel przetwarzania danych?
  • Jaka jest podstawa prawna przetwarzania danych?
  • Jak realizowane są obowiązki informacyjne/prawo dostępu do danych?
  • Jakie środki bezpieczeństwa o charakterze technicznym i organizacyjnym są stosowane w celu zapewnienia bezpieczeństwa danych?
  • Czy były przeprowadzone działania naprawcze (np. usunięcie danych, zmiana formularzy do zbierania danych, opracowanie i wdrożenie procedur i dokumentacji) zalecane w ramach wcześniejszych czynności inspektora?