Obowiązkiem każdego inspektora ochrony danych jest monitorowanie przestrzegania RODO. W ramach tego zadania IOD musi też przeprowadzać audyty w organizacji. Warto w związku z tym ustalić, jakie obszary wymagają sprawdzenia.
Poniżej znajdziesz listę kwestii do sprawdzenia podczas audytu:
- Czy ADO i jego personel zrealizowali dotychczasowe zalecenia poaudytowe.
- Czy dla każdej operacji przetwarzania danych istnieje stosowna podstawa prawna ich przetwarzania.
- Czy zakres przetwarzanych danych jest adekwatny do posiadanej przesłanki ich przetwarzania.
- Czy cel przetwarzania danych odpowiada stosowanej podstawie prawnej ich przetwarzania.
- Czy ADO przygotował przejrzyste klauzule informacyjne zawierającą wszystkie niezbędne elementy i czy klauzula jest łatwo dostępna dla określonych podmiotów danych (tak, aby ADO był w stanie wykazać realizację obowiązku informacyjnego).
- Czy organizacja wdrożyła dokumentację ochrony danych.
- Czy dokumentacja ODO jest zgodna z RODO i spójna wewnętrznie.
- Czy personel ADO postępuje zgodnie z przyjętą dokumentację ODO.
- Czy personel ADO przetwarzający dane jest upoważniony do ich przetwarzania.
- Czy upoważnienia do przetwarzania danych są cofane i aktualizowane na bieżąco.
- Jeżeli ADO udostępnia dane, to czy przekazuje je wyłącznie podmiotom, które mają podstawy ich przetwarzania.
- Czy ADO weryfikuje potencjalnych procesorów pod kątem bezpieczeństwa przetwarzania danych.
- Czy w przypadku przekazywania danych osobowych poza obszar EOG odbywa się to każdorazowo zgodnie z RODO.
- Jakie fizyczne zabezpieczenia danych stosuje ADO (np. czy stosuje zamki w drzwiach i szafach, gdzie przechowuje klucze, czy nie pozostawia dokumentów na biurku, czy niszczy zbędne dokumenty).
- Jakie zabezpieczenia są stosowane w systemach IT wykorzystywanych do przetwarzania danych.
- Czy uprawnienia dostępu do systemów IT pokrywają się z upoważnieniami do przetwarzania danych osobowych.
- Czy personel ADO przestrzega przyjętych zasad korzystania z systemów IT (np. czy wylogowują się po zakończeniu pracy, czy systematycznie zmieniają hasła dostępu).
- Czy w ramach systemu IT tworzone są zdane do użycia kopie zapasowe danych.
- Czy usuwane dane osobowe są niemożliwe do odzyskania.
- Czy w organizacji dochodziło do naruszeń ochrony danych.
- Czy naruszenia były zgłaszane do Prezesa UODO, a także do podmiotów danych.
- Czy ADO odpowiednio i terminowo reagował na żądania realizacji praw podmiotów danych
