Do zadań inspektora ochrony danych należy monitorowanie przestrzegania przepisów RODO, innych przepisów unijnych lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. W ramach tego zadania mieści się także podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych a przede wszystkim powiązane z tym audyty zgodności z RODO.
To inspektor ochrony danych pełni więc rolę audytora w zakresie ochrony danych osobowych. Ogólne rozporządzenie o ochronie danych nie wskazuje, jak przeprowadzać audyt RODO. Możliwe jest jednak sformułowanie pewnych wytycznych. W toku audytu wewnętrznego IOD powinien w szczególności sprawdzić, czy:
1. Czy administrator danych osobowych i jego personel zrealizowali dotychczasowe zalecenia poaudytowe.
2. Czy dla każdej operacji przetwarzania danych istnieje stosowna podstawa prawna ich przetwarzania.
3. Czy zakres przetwarzanych danych jest adekwatny do posiadanej przesłanki ich przetwarzania.
4. Czy cel przetwarzania danych odpowiada stosowanej podstawie prawnej ich przetwarzania.
5. Czy administrator przygotował przejrzyste klauzule informacyjne zawierającą wszystkie niezbędne elementy i czy klauzula jest łatwo dostępna dla określonych podmiotów danych (tak, aby ADO był w stanie wykazać realizację obowiązku informacyjnego).
6. Czy organizacja wdrożyła dokumentację ochrony danych.
7. Czy dokumentacja ODO jest zgodna z RODO i spójna wewnętrznie.
8. Czy personel administratora postępuje zgodnie z przyjętą dokumentację ODO.
9. Czy personel administratora przetwarzający dane jest upoważniony do ich przetwarzania.
10. Czy upoważnienia do przetwarzania danych są cofane i aktualizowane na bieżąco.
11. Jeżeli administrator udostępnia dane, to czy przekazuje je wyłącznie podmiotom, które mają podstawy ich przetwarzania.
12. Czy administrator weryfikuje potencjalnych procesorów pod kątem bezpieczeństwa przetwarzania danych.
13. Czy administrator zawiera z procesorami umowy powierzenia przetwarzania zawierające wszystkie elementy wymagane przepisami RODO.
14. Czy w przypadku przekazywania danych osobowych poza obszar EOG odbywa się to każdorazowo zgodnie z RODO.
15. Jakie fizyczne zabezpieczenia danych stosuje administrator (np. czy stosuje zamki w drzwiach i szafach, gdzie przechowuje klucze, czy nie pozostawia dokumentów na biurku, czy niszczy zbędne dokumenty).
16. Jakie zabezpieczenia są stosowane w systemach IT wykorzystywanych do przetwarzania danych.
17. Czy uprawnienia dostępu do systemów IT pokrywają się z upoważnieniami do przetwarzania danych osobowych.
18. Czy personel administrator przestrzega przyjętych zasad korzystania z systemów IT (np. czy wylogowują się po zakończeniu pracy, czy systematycznie zmieniają hasła dostępu).
19. Czy w ramach systemu IT tworzone są zdane do użycia kopie zapasowe danych.
20. Czy usuwane dane osobowe są niemożliwe do odzyskania.
21. Czy w organizacji dochodziło do naruszeń ochrony danych.
22. Czy naruszenia były zgłaszane do Prezesa UODO, a także do podmiotów danych.
23. Czy administrator odpowiednio i terminowo reagował na żądania realizacji praw podmiotów danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
