Przygotowanie planu przeprowadzenia audytu

Przed przystąpieniem przez administratora danych osobowych do audytu należy przygotować jego plan, w którym zostaną określone następujące informacje:

  • skład osobowy niezbędny do stworzenia i powołania zespołu audytu, chyba że planowany audyt jest prowadzony tylko przez administratora danych lub tylko przez administratora bezpieczeństwa informacji,
  • zakres audytu oraz wskazanie zagadnień, które będą poddane badaniu w bardziej lub mniej szczegółowym zakresie,
  • termin prowadzenia audytu,
  • uprawnienia audytorów,
  • wzór protokołu audytu.

Ze względu na złożoność i różnorodność zagadnień z zakresu ochrony danych osobowych audyt zabezpieczenia przetwarzanych danych osobowych powinien być przeprowadzony przez powołany przez kierownika organizacji (administratora danych osobowych) zespół audytu.

Zespół prowadzący audyt ochrony danych osobowych powinien być złożony przynajmniej z 2 osób:

  • administratora bezpieczeństwa informacji – pełniącego funkcję kierownika zespołu audytu,
  • administratora systemów informatycznych przeznaczonych do przetwarzania danych osobowych.

 

Jednak audyt organizacji przygotowującej się do wdrożenia nowego systemu ochrony danych osobowych zgodnego z RODO powinien być prowadzony w szerszym zakresie. Zespół powinien składać się dodatkowo z osób, które merytorycznie odpowiadają za przetwarzanie danych osobowych w podległych im komórkach organizacyjnych. Do takich osób można zaliczyć np.:

  • dyrektora (kierownika) ds. kadrowo-płacowych,
  • dyrektora (kierownika) administracyjnego – odpowiedzialnego za gospodarkę mieniem i administrację budynków jednostki,
  • dyrektora (kierownika) informatyki – odpowiedzialnego za wyposażenie jednostki w systemy teleinformatyczne oraz ich eksploatację.

Administrator bezpieczeństwa informacji – ze względu na posiadaną wiedzę merytoryczną z zakresu, który będzie audytowany – jest odpowiedzialny za przygotowanie audytu oraz kierowanie jego pracami.