Audyt ochrony danych osobowych

W takcie audytu chcielibyśmy dowiedzieć się, jak działa Państwa organizacja, a także zrozumieć, Państwa model biznesowy. Zrozumienie potrzeb naszych klientów pozwala na dostosowanie wymagań, jakie niesie ze sobą ochrona danych osobowych, do prowadzonej działalności. W tym celu chcielibyśmy przeprowadzić spotkania z pracownikami spółki, bo to pracownicy najlepiej są nam w stanie opowiedzieć czym zajmują się na co dzień.

Aby spotkania te były jak najbardziej produktywne, przed ich przeprowadzeniem prosimy o przesłanie nam dokumentów związanych z przetwarzaniem przez Spółkę danych osobowych, oczywiście po zobowiązaniu się do zachowania ich w dyskrecji.

Proponowany przebieg audytu

  • zapoznanie się z dokumentacją związaną z przetwarzaniem danych osobowych, w szczególności:
    1. umowy powierzenia przetwarzania danych zawarte z klientami i kontrahentami,
    2. formularze dla klientów,
    3. wzory dokumentów stosowanych przez Spółkę,
    4. politykę bezpieczeństwa danych osobowych, o ile istnieje,
    5. instrukcja zarządzania systemami informatycznymi, o ile istnieje,
    6. wzór upoważnienia do przetwarzania danych,
    7. wzór oświadczenia o zapoznaniu się z polityką bezpieczeństwa
    8. obowiązki informacyjne stosowane przez Spółkę,
    9. zgody odbierane przez Spółkę,
    10. wzory dokumentacji pracowniczej i stosowanej wobec osób zatrudnionych na podstawie umów cywilnoprawnych.

cel: przygotowanie nas, ale i pracowników, do przeprowadzenia audytu.

  • rozmowy z pracownikami – osobami wyznaczonym spośród różnych komórek organizacyjnych Spółki, mogących opowiedzieć nam o wykonywanych przez siebie operacjach na danych:
    1. identyfikacja danych przetwarzanych przez pracownika,
    2. źródła pozyskiwania danych i ich dalsze przekazywanie,
    3. podstawy przetwarzania danych,
    4. identyfikacja dokumentów i systemów, w których przetwarzane są dane osobowe,
    5. ocena zabezpieczeń danych (organizacyjne, techniczne, prawne i informatyczne),
    6. ustalenie czasu przechowywania danych.

cel: identyfikacja jakie dane osobowe przetwarza Spółka, a także podstaw prawnych ich przetwarzania. Po przeprowadzonym audycie, będziemy w stanie także zidentyfikować przepływy danych w Spółce i jej partnerów, których działania wymagają zawarcia umów powierzenia. Rozmowy, a także obserwacja biura odpowie nam na pytanie o istniejący stan zabezpieczeń danych osobowych, a także świadomość pracowników odnośnie konieczności zachowania bezpieczeństwa danych.

Raport z audytu

Po zakończeniu pierwszej części naszych działań przygotujemy raport, w którym przedstawimy nasze wnioski z analizy dokumentacji, rozmów z pracownikami, a także obserwacji biura.

W tej części przedstawimy:

  • jaki stan zastaliśmy,
  • do jakiego stanu dążymy,
  • jak chcemy go osiągnąć.

W raporcie pojawią się pierwsze rekomendacje, co do działań jakie należy podjąć w pierwszej kolejności, aby wykazać zgodność Państwa organizacji z RODO. Opracujemy również plan podejmowania kolejnych działań.

Opracowany przez nas raport poddamy wspólnej analizie, to pozwoli na ukierunkowanie dalszych działań do potrzeb i priorytetów prowadzonych działalności.

Korzyści

Opinia na temat posiadanej dokumentacji

RODO nakłada na Państwa organizację szereg wymogów dotyczących posiadanej dokumentacji. Przegląd dokumentacji pozwali ocenić w jakim stopniu te wymogi zostały spełnione.

Zidentyfikowane faktyczne przepływy danych osobowych

Między teorią, a praktyką przetwarzania danych osobowych zazwyczaj jest spora różnica. Chcemy poznać faktyczne przepływy danych osobowych, aby móc zaproponować skuteczne środki ochrony.

Wnioski na temat stanu dostosowania i lista rekomendacji

Rekomendacje uporządkujemy według wagi i znaczenia dla obniżania ryzyk związanych z ochroną danych osobowych. Ważniejsze działania najpierw.

Następne kroki

Wdrożymy RODO przygotowując dokumentację, procedury, umowy, zabezpieczenia. Zadbamy o kompletną i ciągłą ochronę w przyszłości.

Zapoznamy personel poszczególnych działów z praktyką przestrzegania RODO na co dzień, poszukamy praktycznych rozwiązań.

Przejmiemy odpowiedzialną funkcję Inspektora Ochrony Danych. Albo wesprzemy osobę ją pełniącą.