RODO – Audyt w firmie
Od czego zacząć?
Identyfikacja zbiorów danych.
W pierwszej kolejności aby przeprowadzić audyt w firmie pod kątem RODO zidentyfikuj zbiory danych osobowych, które są przetwarzane w Twojej firmie.
Zbiorem danych może być np program do realizacji zamówień, który w swoich zasobach utrzymuje dane osobowe. program do fakturowania.
Gdy już zlokalizujesz te zbiory – nadaj im nazwy.
Pamiętaj, że dane osobowe to nie tylko dane zgromadzone w arkuszach EXCELL, CRM-ach , ERP , ale również dane w formie papierowej na biurkach pracowników.
Zastanów się – kto ma dostęp do tych zbiorów danych, określ ryzyko utraty lub wycieku danych dla każdego zbioru.
Zweryfikuj zakres i cel przetwarzania danych.
Zastanów się, czy przetwarzane dane spełniają wymagania zawarte w siedmiu zasadach przetwarzania danych opisanych w RODO – podstawowe informacje :
- zgodności z prawem
- ograniczenia przetwarzania
- minimalizacji
- prawidłowości
- czasu przechowywania
- integralności i poufności
Zastanów się nad politykami bezpieczeństwa w systemach informatycznych
Przeanalizuj w jaki sposób dane są zabezpieczone przed nieuprawnionym dostępem. Zidentyfikuj wszelkie inne osoby/podmioty , które mogą przetwarzać dane, których jesteś administratorem. Przykładem np mogą być firmy zewnętrzne, świadczące usługi doradcze, które mają dostęp do danych zgromadzonych w systemach ERP, dyskach..
Jaki jest poziom bezpieczeństwa dla danych przetwarzanych w formie papierowej?
Tak jak wcześniej wspominałem w RODO – podstawowe informacje , dostęp, porządkowanie, sortowanie danych w formie papierowej to również przetwarzanie tych danych. Należy więc się zastanowić w jaki sposób jest zabezpieczony i ewidencjonowany dostęp do takich zbiorów,
Uświadom pracowników i osoby współpracujące w zakresie ochrony danych osobowych
Ważnym jest, aby uświadomić pracowników o zasadach przetwarzania danych osobowych i dostępie do tych danych.
Zweryfikuj zawarte umowy pod kątem uzupełnienia ich o informacje o powierzeniu przetwarzania danych osobowych
Warto przejrzeć zawarte umowy z podmiotami zewnętrznymi, które maja dostęp do zbiorów danych osobowych. W umowach warto zawrzeć przykładowy zapis:
„Zamawiający jako administrator danych osobowych powierza Wykonawcy przetwarzanie danych osobowych, do których Wykonawca uzyska dostęp w związku z realizacją obowiązków objętych umową, a Wykonawca zobowiązuje się do ich przetwarzania wyłączenie w celu i zakresie niezbędnym do wykonania umowy, z zachowaniem przepisów o ochronie danych osobowych.”
RODO – Audyt w firmie to wstęp do wdrożenia procedur i zasad wymaganych przez RODO.