Ważnym zagadnieniem jest przeprowadzenie audytu mającego na celu dokonanie obiektywnej analizy stanu faktycznego przetwarzania danych osobowych w podmiocie. W rezultacie powstanie raport zawierający zalecenia dla kierownictwa podmiotu. Znajdzie się tam lista zadań niezbędnych do pełnego wdrożenia systemu ochrony danych oraz wnioski wymagających decyzji kierownictwa, polegające np. zakupie sejfu, montażu zamków w szafach, zakupu klimatyzatora do serwerowni, zmian oprogramowania do przetwarzania danych osobowych itd.

Zakres badania w ramach audytu:

Czynności ogólne:

• – zidentyfikowanie przetwarzanych zbiorów danych osobowych,
• – sprawdzenie dopuszczalności przetwarzania zidentyfikowanych zbiorów danych osobowych (podstawy prawne dopuszczalności przetwarzania danych),
• – sprawdzenie zgodności z ogólnymi zasadami przetwarzania danych (zasadą legalności, celowości, merytorycznej poprawności oraz czasowego ograniczenia przetwarzania danych osobowych).

Analiza zabezpieczeń fizycznych oraz informatycznych poprzez weryfikację:

• – zabezpieczeń fizycznych od kątem spełnienia minimalnych standardów,
• – środków organizacyjnych podjętych przez administratora danych pod kątem spełniania minimalnych standardów,
• – zabezpieczeń systemów informatycznych pod kątem spełniania minimalnych standardów,
• – procedury nadawania uprawnień dostępu do systemów informatycznych,
• – poziomu bezpieczeństwa haseł stosowanych w systemach informatycznych,
• – sposobu zabezpieczenia systemu informatycznego przed działaniem oprogramowania służącego uzyskaniu nieuprawnionego dostępu,
• – procedur tworzenia kopii zapasowych,
• – procedur korzystania ze służbowych laptopów oraz mobilnych nośników danych.

Analiza funkcjonującego obecnie systemu ochrony danych osobowych:

• – analiza upoważnień do przetwarzania danych osobowych,
• – analiza ewidencji osób upoważnionych,
• – weryfikacja dokumentacji z zakresu ochrony danych osobowych,
• – analiza procedury wydawania upoważnień,
• – sprawdzenie, czy pracownicy posiadający dostęp do przetwarzania danych osobowych są zobowiązani do zachowania tajemnicy,
• – weryfikacja sposobu realizacji obowiązku rejestracyjnego (czy zgłoszono zbiory do GIODO, kwestie ewentualnej ich aktualności).

Analiza procesu przetwarzania danych osobowych:

• – sprawdzenie warunków pozyskiwania danych od klientów,

• – sprawdzenie warunków pozyskiwania danych pośrednio – nie od klientów, których dane dotyczą,
• – weryfikacja okresu przechowywania danych klientów,
• – sprawdzenie poprawności formularzy służących do zbierania danych osobowych od klientów,
• – zbadanie adekwatności zbieranych danych (czy nie są zbyt szczegółowe w stosunku do celu, jaki chce się osiągnąć),
• – weryfikacja stosowania obowiązku informacyjnego w stosunku do klientów,
• – weryfikacja poprawności umów zawieranych z klientami,
• – sprawdzenie respektowania praw klientów: prawa do sprzeciwu, cofnięcia zgody, prawa do informacji,

Analiza dokumentacji pracowniczej, rekrutacji, przyjętych zasad monitorowania pracy:

• – audyt wymaganej dokumentacji pracowniczej – archiwizacji dokumentacji,
• – sprawdzenie procesu rekrutacji ze zgodnością z przepisami o ochronie danych osobowych (formularze rekrutacyjne, – oferty pracy, sposób zabezpieczania i niszczenia CV etc.),
• – analiza rozwiązań przyjętych w zakresie monitoringu: systemy CCTV, monitoring poczty elektronicznej itd.

Korzyści dla klienta: doświadczenie + umiejętność + metodologia = profesjonalna usługa.