ISO 27001

Audit Ochrony Danych Osobowych

Opis usługi

Z dniem akcesji Polski do Unii Europejskiej weszła w życie, jak do tej pory najbardziej znacząca, nowelizacja Ustawy o ochronie danych osobowych. Wraz z wprowadzeniem zmian do przepisów rangi ustawowej, wydano także odpowiednie rozporządzenia wykonawcze do Ustawy, określające nowe wymagania techniczne i organizacyjne związane z przetwarzaniem danych osobowych, głównie w systemach informatycznych. Podmioty przetwarzające dane osobowe mają obowiązek dostosować do nowych przepisów swoje procedury, dokumentację opisującą przetwarzanie danych, jak również systemy informatyczne służące do przetwarzania danych.
Pomimo, iż ostateczny termin takiego dostosowania upłynął kilka lat temu, do dzisiaj wiele przedsiębiorstw, a także podmiotów publicznych, nie przygotowało odpowiednich zmian w swojej dokumentacji oraz nie dostosowało zasad przetwarzania danych do nowych przepisów.
Kary za utrudnianie kontroli i niewykonanie decyzji oraz obowiązek odpowiedzi na wystąpienia i wnioski GIODO to rozwiązania wprowadzone do ustawy o ochronie danych osobowych, które weszły w życie 7 marca 2011 r.
Aby mogli Państwo bezpiecznie zweryfikować zasady ochrony danych osobowych w swojej firmie, wprowadzić brakujące elementy dokumentacji i dostosować się do wszystkich dotychczasowych i nowych wymagań, proponujemy przeprowadzenie audytu weryfikacyjnego zgodności działań Państwa firmy z wymogami prawa ochrony danych osobowych.

W ramach audytu przeprowadzamy następujące prace:

Inwentaryzacja zbiorów danych osobowych

Inwentaryzacja polega na ustaleniu rodzaju i ilości zbiorów danych osobowych występujących w przedsiębiorstwie, np. dane klientów, dane pracowników itp. Następnie ustalany jest cel przetwarzania danych oraz określane podstawy prawne, na jakich są one przetwarzane. Analizowane są także zasady zbierania danych do zbiorów.

Sprawdzenie wypełnienia obowiązków technicznych i organizacyjnych

Na tym etapie ocenie podlega przyjęta Polityka Bezpieczeństwa przetwarzania danych, w tym wszelkie zarządzenia i instrukcje. Weryfikacji podlegają m.in. procedury postępowania w sytuacji naruszenia ochrony danych osobowych, prawidłowość zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych. Ocenia się także zgodność zastosowanych zabezpieczeń systemów oraz aplikacji z wymogami prawnymi. Jednocześnie sprawdzone zostają zabezpieczenia obszaru przetwarzania danych osobowych, status działań dotyczących szkoleń oraz dopuszczania zatrudnionych osób do przetwarzania danych.

Sprawdzenie wypełnienia obowiązków formalno-prawnych

W ramach audytu zweryfikowana zostanie poprawność spełnienia obowiązków informacyjnych oraz poprawność otrzymanych zgód na przetwarzanie danych. Sprawdzeniu podlegać będą procesy i procedury zbierania i udostępniania danych; ocenione zostanie wypełnienie obowiązków związanych z ewentualnym powierzeniem przetwarzania danych osobom trzecim.
Przeanalizowane zostaną złożone wnioski rejestracyjne i w razie potrzeby, przygotowana zostanie ich aktualizacja lub też dokonane zostaną pierwotne zgłoszenia.

Raport

W wyniku przeprowadzonych prac przedstawimy Państwu raport opisujący stan faktyczny i wszystkie ewentualnie wykryte nieprawidłowości oraz odstępstwa od obowiązujących przepisów. W raporcie sformułowane zostaną także zalecenia właściwego wypełnienia obowiązków związanych z przetwarzaniem danych wraz z projektami odpowiednich dokumentów.