Audyt danych osobowych polega na zbadaniu organizacji pod kątem zgodności procesów przetwarzania danych osobowych z wymogami obowiązującego prawa. Badanie obejmuje szeroki zakres kwestii organizacyjnych, prawnych i informatycznych. W ramach audytu badamy m.in. zakres i cele przetwarzania danych osobowych w organizacji, sposoby pracy z danymi, identyfikujemy istniejące zbiory danych osobowych, analizujemy dokumentację mającą znaczenia dla procesów przetwarzania danych, sprawdzamy działanie systemów informatycznych zastosowanych do przetwarzania danych oraz weryfikujemy funkcjonujące sposoby zabezpieczeń tych danych. Wykonanie ogółu niezbędnych czynności audytowych pozwala ocenić m.in.:
- legalność i zasadność przetwarzania konkretnych danych oraz istnienia wykrytych zbiorów danych osobowych,
- poprawność zastosowania środków ochrony danych,
- efektywność stosowanych procedur i zasad przetwarzania danych,
- prawidłowość podejmowanych czynności przetwarzania danych osobowych przez osoby upoważnione do pracy z takimi danymi.
Po przeprowadzonym badaniu sporządzany jest raport pokontrolny, opisujący wyniki audytu, wskazujący ewentualnie wykryte uchybienia oraz zawierający zalecenia wprowadzenia niezbędnych zmian celem dostosowania procedur przetwarzania danych do wymogów prawa.
Audyt danych osobowych zazwyczaj jest wstępem do późniejszego opracowania dokumentacji przetwarzania danych osobowych wymaganej przepisami prawa, a także do zaprojektowania całościowego systemu ochrony danych w organizacji.
Okresowe sprawdzenie zgodności przetwarzania danych osobowych
Jednym z obowiązków wynikających z ustawy o ochronie danych osobowych jest przeprowadzanie okresowych sprawdzeń zgodności przetwarzania danych osobowych z przepisami prawa. Zasadniczo, sprawdzenie takie przeprowadza powołany w strukturach instytucji administrator bezpieczeństwa informacji (ABI). Po dokonaniu sprawdzenia ABI opracowuje sprawozdania dla administratora danych. Jeżeli jednak nie powołano ABI-ego, zadanie przeprowadzenia okresowego sprawdzenia wykonuje samodzielnie administrator danych.
Oferujemy pomoc przy realizacji obowiązku wykonywania okresowych sprawdzeń zgodności przetwarzania danych osobowych. Podpowiadamy jak prawidłowo wykonać czynności sprawdzenia oraz jak opisać wyniki takiego badania w formie odpowiedniego sprawozdania.
Pomagamy administratorom danych, gdy nie powołali ABI-ego, a także samym ABI, jeżeli niezbędne jest dodatkowe wsparcie merytoryczne. Nasz udział może sprowadzać się jedynie do asysty i doradztwa, lub też obejmować wykonanie całości sprawdzenie. W drugim przypadku najczęściej nasze działania przypominają audyt bezpieczeństwa danych osobowych.