Po zakończeniu audytu oraz kontroli stanowisk pracy ABI wraz z zespołem audytorskim przygotowuje sprawozdanie z przeprowadzonego audytu oraz oceny systemu ochrony i przetwarzania danych osobowych. Sprawozdanie jest przedstawiane administratorowi danych osobowych, a następnie – po pisemnym przyjęciu do wiadomości przez ADO – zostaje przedstawione wszystkim pracownikom. Istotnym elementem sprawozdania jest wykaz czynności, które zostaną podjęte przez ADO w celu wyeliminowania wykrytych nieprawidłowości oraz wdrożenia nowych procedur zgodnych z RODO. Mogą to być np. szkolenia, zakup sprzętu, mebli, niszczarek, ale także przemeblowanie czy przeniesienie dokumentów do innych pomieszczeń.
Przeprowadzanie audytu ma zapewnić lepszy poziom kontroli nad danymi osobowymi i przygotować ADO do opracowania i wdrożenia właściwego systemu przetwarzania danych osobowych zgodnego z RODO oraz nowymi przepisami krajowymi. Materiał i informacje zebrane podczas audytu stanowią dane wyjściowe do opracowania rejestru czynności przetwarzania.
Zagadnienia poruszane w raporcie z przeprowadzonego audytu:
Charakterystyka jednostki organizacyjnej:
- nazwa organizacji,
- nazwy komórek organizacyjnych zlokalizowanych w obiekcie oraz charakter realizowanych przez nie zadań, w zakresie istotnym dla ochrony danych osobowych,
- charakterystyka zatrudnienia,
- opis obiektu oraz obszarów przetwarzania danych osobowych,
- otoczenie obiektu,
- podmioty na terenie obiektu,
- charakterystyka budynku.
Zgodność stosowanych zabezpieczeń oraz procedur z obowiązującymi aktami prawnymi:
- ustawy, w myśl których w jednostce są przetwarzane dane osobowe,
- rozporządzenia do wyżej wymienionych ustaw,
- zarządzenia i decyzje kierownika organizacji,
- normy branżowe,
- zalecenia.
Zakres audytu oraz informacje pozyskane w trakcie audytu:
- komórki organizacyjne, ich zadania w zakresie ochrony danych osobowych oraz lokalizacja w strefach ochronnych,
- strefy ochronne i obszary przetwarzania danych, ich lokalizacja i organizacja,
- system bezpieczeństwa fizycznego, organizacja ochrony oraz zadania osób funkcyjnych i służb ochrony w systemie,
- dokumentacja bezpieczeństwa, plany ochrony, instrukcje, procedury, wytyczne itp.,
- zabezpieczenia stosowane do ochrony danych osobowych: fizyczne, techniczne, budowlane, organizacyjne itp.,
- rekomendacje wynikające z niezgodności z obowiązującymi wymaganiami prawnymi, z zaleceniami, dobrymi praktykami bazującymi na normach branżowych,
- wnioski i zalecenia wskazujące na kierunki działania mające na celu wyeliminowanie uchybień lub zastosowanie rozwiązań mających na celu właściwe zabezpieczenie danych osobowych – według zawartości baz danych,
- propozycje wprowadzenia zmian oraz działań mających na celu osiągnięcie właściwego poziomu ochrony danych osobowych,
- terminy wprowadzenia właściwego zabezpieczenia przetwarzanych danych osobowych w organizacji.