RODO – Audyt w firmie

Od czego zacząć?

Identyfikacja zbiorów danych.

W pierwszej kolejności aby przeprowadzić audyt w firmie pod kątem RODO zidentyfikuj zbiory danych osobowych, które są przetwarzane w Twojej firmie.
Zbiorem danych może być np program do realizacji zamówień, który w swoich zasobach utrzymuje dane osobowe. program do fakturowania.
Gdy już zlokalizujesz te zbiory – nadaj im nazwy.
Pamiętaj, że dane osobowe to nie tylko dane zgromadzone w arkuszach EXCELL, CRM-ach , ERP , ale również dane w formie papierowej na biurkach pracowników.
Zastanów się – kto ma dostęp do tych zbiorów danych, określ ryzyko utraty lub wycieku danych dla każdego zbioru.

Zweryfikuj zakres i cel przetwarzania danych.

Zastanów się, czy przetwarzane dane spełniają wymagania zawarte w siedmiu zasadach przetwarzania danych opisanych w RODO – podstawowe informacje :

  • zgodności z prawem
  • ograniczenia przetwarzania
  • minimalizacji
  • prawidłowości
  • czasu przechowywania
  • integralności i poufności

Zastanów się nad politykami bezpieczeństwa w systemach informatycznych

RODO Bezpieczeństwo systemów informatycznych

Przeanalizuj w jaki sposób dane są zabezpieczone przed nieuprawnionym dostępem. Zidentyfikuj wszelkie inne osoby/podmioty , które mogą przetwarzać dane, których jesteś administratorem. Przykładem np mogą być firmy zewnętrzne, świadczące usługi doradcze, które mają dostęp do danych zgromadzonych w systemach ERP, dyskach..

Jaki jest poziom bezpieczeństwa dla danych przetwarzanych w formie papierowej?

Tak jak wcześniej wspominałem w RODO – podstawowe informacje , dostęp, porządkowanie, sortowanie danych w formie papierowej to również przetwarzanie tych danych. Należy więc się zastanowić w jaki sposób jest zabezpieczony i ewidencjonowany dostęp do takich zbiorów,

Uświadom pracowników i osoby współpracujące w zakresie ochrony danych osobowych

Ważnym jest, aby uświadomić pracowników o zasadach przetwarzania danych osobowych i dostępie do tych danych.

Zweryfikuj zawarte umowy pod kątem uzupełnienia ich o informacje o powierzeniu przetwarzania danych osobowych

Warto przejrzeć zawarte umowy z podmiotami zewnętrznymi, które maja dostęp do zbiorów danych osobowych. W umowach warto zawrzeć przykładowy zapis:

„Zamawiający jako administrator danych osobowych powierza Wykonawcy przetwarzanie danych osobowych, do których Wykonawca uzyska dostęp w związku z realizacją obowiązków objętych umową, a Wykonawca zobowiązuje się do ich przetwarzania wyłączenie w celu i zakresie niezbędnym do wykonania umowy, z zachowaniem przepisów o ochronie danych osobowych.”

RODO – Audyt w firmie to wstęp do wdrożenia procedur i zasad wymaganych przez RODO.

Inne artykuły o RODO