Audyt RODO

Wewnętrzne sprawdzenie czy w danej organizacji został skutecznie wdrożony oraz funkcjonuje zgodnie z obowiązującymi przepisami prawa system ochrony danych osobowych. Audyt RODO obejmuję szczegółową analizę całego systemu ochrony danych, a w szczególności polityk, instrukcji i procedur ochrony danych osobowych obowiązujących w organizacji.  

Zabezpieczenia

Dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych. Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczać, tak by uniemożliwić ich nieuprawnione udostępnienie.  

Środki techniczne

To rożnego rodzaju rozwiązania o charakterze sprzętowym oraz programowym (m.in. urządzenia, systemy, oprogramowanie), które służą zapewnieniu odpowiedniego poziomu bezpieczeństwa danych. Mogą one mieć charakter podstawowych zabezpieczeń fizycznych bądź logicznych.

Środki organizacyjne

To różnego rodzaju rozwiązania odnoszące się do sposobu zorganizowania procesów przetwarzania danych. Do tego typu środków można zaliczyć m.in. ustalenie zasad dostępu do danych, reguły pobierania kluczy, wydzielenie stref ograniczonego dostępu osób postronnych.

Podejście oparte na ryzyku

Wyrażone w RODO podejście oparte na ryzyku określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie może to spowodować dla prywatności osób, których te dane dotyczą.

Rejestrowanie czynności przetwarzania

RODO nie zawiera precyzyjnych wytycznych w zakresie dokumentowania czynności przetwarzania. Jedynym zdefiniowanym obowiązkiem określonym w art. 30 RODO jest rejestrowanie czynności przetwarzania, którego efektem jest prowadzenie przez administratora lub podmiot przetwarzający rejestru czynności przetwarzania lub rejestru kategorii przetwarzania.  

Obowiązek informacyjny

Informowanie osób, których dane dotyczą, o wykorzystywaniu ich danych osobowych (prowadzeniu operacji przetwarzania) i celach, dla których jest ono prowadzone, jest niezbędne dla zapewnienia rzetelności i przejrzystości przetwarzania danych osobowych.

Uprawnienia osób, których dane dotyczą

Każda osoba powinna mieć kontrolę nad dotyczącymi jej danymi osobowymi, niezależnie od tego kto i w jakim celu te dane przetwarza. RODO przyznaje szereg uprawnień podmiotom danych:

  • prawo do bycia poinformowanym o operacjach przetwarzania,
  • prawo dostępu do swoich danych,
  • prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych (prawo do bycia zapomnianym),
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu,
  • prawo do tego, by nie podlegać profilowaniu.
Zgoda na przetwarzanie danych

Zgoda jest często mylnie traktowana jako podstawowa, najważniejsza przesłanka przetwarzania danych osobowych. Tymczasem jest jedną z kilku równoważnych podstaw prawnych – tak jak obowiązek wynikający z przepisu prawa, realizacja umowy czy też uzasadniony interes administratora danych. Złą praktyką jest pozyskiwanie zgody jako warunku zawarcia umowy o świadczenie usług.

Zgodność

Audyt RODO

Oferowana usługa polega na przeprowadzeniu przez naszego specjalistę wewnętrznego audytu RODO w danej organizacji. Sprawdzimy czy system ochrony danych w Twojej organizacji został skutecznie wdrożony oraz funkcjonuje zgodnie z obowiązującymi przepisami prawa. Po przeprowadzeniu audytu kierownictwo organizacji otrzymuję syntetyczny raport zawierający wyniki i ocenę aktualnego stanu systemu ochrony danych. Na podstawie uzyskanych wyników rekomendowane są ewentualne działania korygujące lub naprawcze. Audyt RODO należy przeprowadzać w danej organizacji cyklicznie, co najmniej raz w roku. 

Zgodnie z art. 32 ust. 1 lit. d RODO każdy administrator danych osobowych jest zobowiązany regularnie testować, mierzyć i oceniać skuteczność zastosowanych przez siebie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Wypełnienie przedmiotowego obowiązku można wykazać (zgodnie z zasadą rozliczalności art. 5 ust. 2 RODO) poprzez przedłożenie organowi nadzorczemu stosownego raportu z przeprowadzonego audytu ochrony danych osobowych.

Koncepcja

Privacy by desing i Privacy by default

Zawsze, gdy decydujemy się przetwarzać dane osobowe, dobrą praktyką powinno być podejście oparte na poszanowaniu prywatności osób, których te dane dotyczą. Podejście to zakłada, że ochrona prywatności powinna być brana pod uwagę i stosowana w praktyce przy prowadzeniu wszelkich projektów i działań, tak w sferze publicznej, jak i prywatnej. RODO czyni przedmiotową koncepcję prawnie wiążącym obowiązkiem, wprowadzając do porządku prawnego uwzględnianie ochrony danych w fazie projektowania oraz – jako pewnego rodzaju postulat – zasadę domyślnej ochrony danych. Uwzględnienie ochrony danych osobowych w fazie projektowania ma z zasady umożliwić włączanie ochrony prywatności w samo tworzenie projektu, działanie jego składników oraz zarządzanie technologiami informacyjnymi i systemami przez cały cykl życia informacji.    

Audytor w oparciu o obowiązujące przepisy prawa stara się odpowiedzieć między innymi na następujące pytania:

Czy organizacja wyznaczyła lub była zobowiązana wyznaczyć Inspektora Ochrony Danych?

Czy organizacja prowadzi lub powinna prowadzić Rejestr czynności przetwarzania danych osobowych/Rejestr kategorii czynności przetwarzania?

Czy treść stosowanych w organizacji klauzul zgód i klauzul informacyjnych jest odpowiednia i wypełnia wymogi RODO?

Czy wzory umów powierzenia przetwarzania danych osobowych są zgodne z przepisami RODO?

Jakie są stosowane w organizacji techniczne i organizacyjne środki ochrony danych osobowych?

Jak kształtuje się w organizacji Polityka ochrony danych, backupu i zarządzanie uprawnieniami oraz jaki jest ich wpływ na poziom bezpieczeństwa danych osobowych, przetwarzanych w formie elektronicznej?

Czy organizacja przestrzega wymogi w zakresie profilowania?

Czy są stosowane narzędzia informatyczne do szyfryzacji lub pseudaonimizacji przetwarzanych danych osobowych?

Jaki jest poziom zabezpieczeń dla danych osobowych przetwarzanych w formie tradycyjnej (papierowej)?

Referencję

Co o nas mówią

Firmę trzeba wyróżnić za jakość świadczonych usług. W moim przypadku, wybór firmy został zdeterminowany przez zaproponowane ceny usług. Warto poznać ofertę tej firmy, bo można dużo zaoszczędzić, naliczane opłaty są naprawdę rozsądne. Firma wykazuje duże zaangażowanie w realizacje podjętych działań. Widać, że zależy jej na komforcie Klienta.

Sebastian Gawlik

Mam przyjemność zarekomendować firmę Abimar. Współpracę z firmą nawiązaliśmy w roku 2017 i trwa ona do dziś, ponieważ jest bardzo pozytywna. Wykonawcę trzeba wyróżnić za jakość świadczonych usług z zakresu ochrony danych osobowych. Należy pochwalić starania firmy, by ich usługi miały jak najlepszą markę.

Wiesław Molęda

W czym możemy Ci pomóc?

* Wymagana zgoda

5 + 15 =

Nasza siedziba

ul. Henryka Sienkiewicza 56
42-400 Zawiercie, Polska

Jesteśmy dostępni

od poniedziałku do piątku
od godz. 8.00 do 16.00

Zadzwoń do nas

+48 696 655 124 

error: Zawartość jest chroniona!!!

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać wartościowe treści dotyczące ochrony danych osobowych oraz informacje o naszych usługach i ofertach specjalnych. 

pracownicy Abimar z logo

Dziękujemy! Udało Ci się dołączyć do naszej listy subskrybentów.