Spis treści
Czym jest RODO?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych (ang. General Data Protection Regulation, GDPR), to unijne rozporządzenie mające na celu ochronę prywatności i danych osobowych obywateli Unii Europejskiej. Wszedł w życie 25 maja 2018 roku.
Na czym polega audyt RODO?
Audyt RODO to proces, w którym organizacja jest poddawana analizie w celu zweryfikowania zgodności z przepisami dotyczącymi ochrony danych osobowych, zawartymi w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (znanym jako RODO). Celem audytu jest ujawnienie słabych punktów w systemach bezpieczeństwa danych oraz określenie koniecznych działań i wymagań, aby spełnić wymogi RODO.
Audyt RODO może być przeprowadzony przez wewnętrzny zespół organizacji, zewnętrzną firmę specjalizującą się w audytach ochrony danych, lub przez odpowiednie organy nadzorcze.
Celem audytu jest nie tylko upewnienie się, że organizacja przestrzega przepisów RODO, ale także identyfikacja potencjalnych ryzyk i opracowanie rekomendacji, jak zwiększyć ochronę danych i poprawić procedury związane z ich przetwarzaniem.
5 powodów dla których warto przeprowadzić audyt RODO:
Zapewnienie przestrzegania prawa: Audyt RODO umożliwia potwierdzenie, że działania Twojej organizacji są w pełni zgodne z prawem dotyczącym ochrony danych osobowych. To krytyczny element, by unikać ewentualnych kar finansowych i prawnych.
Chronienie dobrego imienia: Naruszenia przepisów RODO, takie jak wyciek danych, mogą zaszkodzić wizerunkowi Twojej firmy. Dzięki audytowi możemy wykryć i zminimalizować potencjalne ryzyka związane z ochroną danych.
Gwarancja bezpieczeństwa danych: Przeprowadzenie audytu RODO umożliwia szczegółowe sprawdzenie procesów gromadzenia, przetwarzania i przechowywania danych, co przyczynia się do poprawy procedur bezpieczeństwa danych.
Włączenie pracowników w proces: Audyt może służyć jako doskonały moment do edukacji pracowników i zwiększenia ich świadomości na temat istoty ochrony prywatności i danych osobowych.
Budowanie zaufania u klientów i partnerów: Realizacja audytu RODO i podjęcie odpowiednich działań mających na celu zapewnienie zgodności z tym rozporządzeniem może wzmacniać zaufanie klientów i partnerów biznesowych. To dowód na to, że Twoja firma dba o prywatność i bezpieczeństwo danych.
Przeprowadzając audyt RODO dzielimy go na trzy główne działy:
- Audyt organizacyjno-prawny
- Audyt techniczny – informatyczny
- Audyt obszaru przetwarzania danych osobowych
Jak przeprowadzamy audyt organizacyjno – prawny znajdziecie tu: Audyt RODO: część: 1.
W audycie RODO w części techniczno-informatycznej nasza uwagę skupiamy na systemie operacyjnym służącym do przetwarzania danych osobowych oraz technicznych środkach ochrony danych
Co warto sprawdzić podczas audytu RODO w kontekście IT?
- czy uwierzytelnienie do systemu operacyjnego wymaga podania loginu.
- czy w systemie informatycznym stosowane są mechanizmy kontroli dostępu do tych danych.
- czy stosowane są hasła, jeśli tak jakie są zasady ich konstruowania i zmiany.
- czy jest stosowane oprogramowanie antywirusowe.
- czy stosowane jest oprogramowanie typu Firewall.
- czy użytkownik może samodzielnie odinstalować oprogramowanie antywirusowe lub Firewall.
- czy wykonywane są kopie zapasowe.
- kto posiada dostęp do kopii zapasowych.
- czy zagwarantowana jest możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do tych danych w razie incydentu fizycznego lub technicznego.
- czy kopie zapasowe pozwolą zachować integralność i ciągłość przetwarzania danych osobowych.
- w jaki sposób niszczone są nośniki danych osobowych.
- czy użytkownicy stosują nośniki danych, typu Pendrive.
- w jaki sposób zabezpiecza się urządzenia mobilne.
- czy dochodzi do przekazywania danych osobowych podmiotów danych poza EOG.
- stosowane metody zabezpieczeń fizycznych? Np. zamki w drzwiach i szafach, ustawienie monitorów w sposób uniemożliwiający ich podejrzenie przez osoby postronne, zasadę czystego biurka oraz proces niszczenie dokumentów.
- czy uprawnienia dostępu do systemów IT pokrywają się z upoważnieniami do przetwarzania danych osobowych
- czy dokumentacja systemów IT (np. instrukcje obsługi) dotykają tematyki ochrony danych osobowych, a jeśli tak, czy w sposób zgodny z przepisami prawa i regulacjami audytowanego podmiotu.
- czy użytkownicy przestrzegają zasad korzystania z systemów IT? (np. czy wylogowują się po zakończonej pracy).
- czy usuwanie danych osobowych uniemożliwia ich faktyczne odzyskanie i czy odbywa się zgodnie z RODO? (Jak często usuwane są kopie zapasowe, po wykonaniu nowej kopii zapasowej).
- czy stosowane są środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach bazy danych.
- czy stosowane są środki umożliwiające uregulowanie zakresu dostępu do wskazanego zakresu danych?
- czy wprowadzone są blokady dostępu do niebezpiecznych stron WWW? – Czyli czy komputery firmowe mają możliwość wejścia na strony niezabezpieczone certyfikatem SSL.
- czy stosowany jest system IDS/IPS celem ochrony dostępu do sieci komputerowej? (systemy wykrywania i zapobiegania włamaniom) – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym).
- czy stosowane są kryptograficzne środki ochrony danych osobowych.
- czy stosowane są środki zabezpieczające dane osobowe przed utratą/skasowaniem.
- czy system IT zapewnia integralność i wiarygodność danych? NP. środki umożliwiające wykrycie nieautoryzowanych działań związanych z przetwarzaniem informacji, narzędzia gwarantujące zachowanie spójności danych.
- czy stosowane są inne środki zabezpieczeń.
- czy administrator przetwarzający dane osobowe w systemie IT realizuje obowiązek informacyjny względem podmiotów tych danych.
- czy podmiot danych przetwarzanych w systemie IT ma możliwość sprostowania lub uzupełnienia tych danych.
- czy podmiot danych przetwarzanych w systemie IT ma prawo dostępu do tych danych.
- czy podmiot danych przetwarzanych w systemie IT ma możliwość żądania usunięcia tych danych.
- czy podmiot danych przetwarzanych w systemie IT ma prawo przenoszenia tych danych.
- czy podmiot danych przetwarzanych w systemie IT ma możliwość żądania zaprzestania profilowania.
Audyt RODO obszaru przetwarzania danych osobowych
Ostatnim krokiem audytu RODO jest audyt obszaru przetwarzania danych. Określamy w nim lokalizację obszaru przetwarzania danych osobowych, położenie oraz typ pomieszczeń. Wprowadzamy opis fizycznego zabezpieczenia pomieszczenia, przechowywania dokumentów. Sporządzamy spis urządzeń służących oraz ich lokalizację. Sprawdzamy politykę czystego biurka, politykę pobierania kluczy do szaf orasz ich zabezpieczenie. Weryfikujemy używanie elektronicznych nośników danych oraz ich zabezpieczenie. Sprawdzamy miejsce położenia niszczarki oraz jak podmiot usuwa zbędne dokumenty.
Na koniec audytu sporządzamy wykaz zabezpieczeń technicznych i organizacyjnych, końcową ocenę audytu oraz zalecenia audytowe.
Sprawdź:
Jeśli potrzebujesz przeprowadzić audyt RODO w swojej organizacji naciśnij przycisk poniżej, pomożemy!
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.