Audyt RODO ma na celu weryfikację obecnego stanu ochrony danych osobowych oraz ocenę stopnia przygotowania na zmiany wynikające z ogólnego rozporządzenia o ochronie danych (RODO/GDPR).
W ramach audytu RODO:
- określimy w stosunku do których informacji należy stosować przepisy RODO
- określimy status podmiotów przetwarzających dane osobowe (administrator, współadministrator, procesor, subprocessor)
- zweryfikujemy przesłanki przetwarzania danych osobowych określone w RODO w kontekście legalności przetwarzania na potrzeby poszczególnych procesów realizowanych przez klienta
- dokonamy przeglądu stosowanych klauzul zgód
- dokonamy przeglądu stosowanych klauzul (obowiązków) informacyjnych,
- przeanalizujemy treści stosowanych umów powierzenia przetwarzania danych
- określimy procedury realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych)
- określimy procedury realizacji obowiązków administratorów danych / procesorów (np. w zakresie powiadomień o naruszeniach)
- przeanalizujemy stosowane środki techniczne (informatyczne, fizyczne) i organizacyjne służące do zabezpieczenia danych pod kątem zgodności ze wskazaniami RODO.
Efektem końcowym audytu jest raport przedwdrożeniowy prezentujący opis niezgodności, w tym wykryte naruszenia prawa, dowody potwierdzające niezgodności oraz rekomendacje co do sposobu likwidacji niezgodności.
Ponadto w raporcie wskazujemy jakie działania należy podjąć, by osiągnąć zgodność z RODO, w szczególności zaś:
- zaproponujemy metodykę szacowania ryzyka i przeprowadzimy szacowanie ryzyka
- wskażemy, czy konieczne będzie dokonanie oceny skutków przetwarzania danych i jeśli tak, to jak należy przeprowadzić ten proces
- określimy warunki powołania Inspektora Ochrony Danych (IOD), jeśli okaże się to niezbędne
- ustalimy zakres obowiązków wynikających z RODO, jaki ciąży na kliencie
- przedstawimy rekomendacje w zakresie dostosowania środowiska IT do wymogów RODO
- sporządzimy propozycję harmonogramu wdrożenia.
Wdrożenie RODO
Wdrożenie RODO obejmuje dwa etapy:
- dostosowanie procesów przetwarzania danych
- dostosowanie środowiska teleinformatycznego
W ramach dostosowania procesów przetwarzania danych klient otrzyma dokumenty składające się na kompleksową politykę bezpieczeństwa (ostateczny zakres zależy od wyników audytu i analizy ryzyka), m.in.:
- procedurę szacowania ryzyka
- ocenę skutków przetwarzania danych osobowych
- plan postępowania z ryzykiem
- procedurę współpracy z podmiotami zewnętrznymi, w tym opracowanie nowego wzoru umowy powierzenia przetwarzania danych osobowych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego procesora
- rejestr czynności przetwarzania danych osobowych
- procedurę współpracy z organem nadzorczym i zgłaszania naruszeń
- klauzule do zbierania danych osobowych oraz obowiązki informacyjne
- status i zadania Inspektora Ochrony Danych (IOD)
- procedurę rozpatrywania żądań podmiotu danych kierowanych do Inspektora Ochrony Danych (IOD)
- procedurę postępowania, która w przypadku projektowania systemów IT uwzględnia koncepcje ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
- przeprowadzenie uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych (dawniej GIODO) w sytuacjach tego wymagających
- wybór odpowiednich mechanizmów transferowych w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
W celu dostosowania środowiska IT zostaną opracowane i dostarczone m.in. procedury dotyczące w zarządzania użytkownikami i uprawnieniami, wykonywania i odzyskiwania kopii zapasowych, obsługi incydentów bezpieczeństwa.
Omawianą usługę możemy rozszerzyć o propozycje wdrożenia przydatnych narzędzi IT, które wspierałyby spełnianie wymogów RODO w zakresie bezpieczeństwa IT, a zwłaszcza:
- system klasyfikacji informacji
- system zapobiegający wyciekowi informacji (DLP)
- platforma zarządzania informacją związaną z bezpieczeństwem i zdarzeniami (SIEM).
