Raport z audytu dotychczasowego przetwarzania danych osobowych

Po zakończeniu audytu oraz kontroli stanowisk pracy ABI wraz z zespołem audytorskim przygotowuje sprawozdanie z przeprowadzonego audytu oraz oceny systemu ochrony i przetwarzania danych osobowych. Sprawozdanie jest przedstawiane administratorowi danych osobowych, a następnie – po pisemnym przyjęciu do wiadomości przez ADO – zostaje przedstawione wszystkim pracownikom. Istotnym elementem sprawozdania jest wykaz czynności, które zostaną podjęte przez ADO w celu wyeliminowania wykrytych nieprawidłowości oraz wdrożenia nowych procedur zgodnych z RODO. Mogą to być np. szkolenia, zakup sprzętu, mebli, niszczarek, ale także przemeblowanie czy przeniesienie dokumentów do innych pomieszczeń.

Przeprowadzanie audytu ma zapewnić lepszy poziom kontroli nad danymi osobowymi i przygotować ADO do opracowania i wdrożenia właściwego systemu przetwarzania danych osobowych zgodnego z RODO oraz nowymi przepisami krajowymi. Materiał i informacje zebrane podczas audytu stanowią dane wyjściowe do opracowania rejestru czynności przetwarzania.

Zagadnienia poruszane w raporcie z przeprowadzonego audytu:

Charakterystyka jednostki organizacyjnej:

  • nazwa organizacji,
  • nazwy komórek organizacyjnych zlokalizowanych w obiekcie oraz charakter realizowanych przez nie zadań, w zakresie istotnym dla ochrony danych osobowych,
  • charakterystyka zatrudnienia,
  • opis obiektu oraz obszarów przetwarzania danych osobowych,
  • otoczenie obiektu,
  • podmioty na terenie obiektu,
  • charakterystyka budynku.

 

Zgodność stosowanych zabezpieczeń oraz procedur z obowiązującymi aktami prawnymi:

  • ustawy, w myśl których w jednostce są przetwarzane dane osobowe,
  • rozporządzenia do wyżej wymienionych ustaw,
  • zarządzenia i decyzje kierownika organizacji,
  • normy branżowe,
  • zalecenia.

 

Zakres audytu oraz informacje pozyskane w trakcie audytu:

  • komórki organizacyjne, ich zadania w zakresie ochrony danych osobowych oraz lokalizacja w strefach ochronnych,
  • strefy ochronne i obszary przetwarzania danych, ich lokalizacja i organizacja,
  • system bezpieczeństwa fizycznego, organizacja ochrony oraz zadania osób funkcyjnych i służb ochrony w systemie,
  • dokumentacja bezpieczeństwa, plany ochrony, instrukcje, procedury, wytyczne itp.,
  • zabezpieczenia stosowane do ochrony danych osobowych: fizyczne, techniczne, budowlane, organizacyjne itp.,
  • rekomendacje wynikające z niezgodności z obowiązującymi wymaganiami prawnymi, z zaleceniami, dobrymi praktykami bazującymi na normach branżowych,
  • wnioski i zalecenia wskazujące na kierunki działania mające na celu wyeliminowanie uchybień lub zastosowanie rozwiązań mających na celu właściwe zabezpieczenie danych osobowych – według zawartości baz danych,
  • propozycje wprowadzenia zmian oraz działań mających na celu osiągnięcie właściwego poziomu ochrony danych osobowych,
  • terminy wprowadzenia właściwego zabezpieczenia przetwarzanych danych osobowych w organizacji.