Zgodnie z art. 32 ogólnego rozporządzenia o ochronie danych (RODO), Administrator  Danych powinien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Celem audytów wewnętrznych jest ocena, czy system ochrony danych osobowych jest skutecznie wdrożony i  funkcjonuje zgodnie z wymaganiami RODO oraz zapisami ustawy o ochronie danych osobowych. Audyty ochrony danych osobowych przeprowadza się w sposób obiektywny i bezstronny. Przestrzegana musi być zasada, że audytor nie audytuje swojej własnej pracy.

W ramach przeprowadzanego audytu ochrony danych osobowych, audytor naszej firmy w oparciu o obowiązujące przepisy prawa stara się odpowiedzieć między innymi na następujące pytania:

  • Czy organizacja jest zobowiązana wyznaczyć inspektora ochrony danych?
  • Czy organizacja będzie musiała prowadzić rejestr czynności przetwarzania danych osobowych?
  • Czy treść stosowanych w organizacji klauzul zgody i klauzul informacyjnych jest odpowiednia?
  • Czy wzory umów powierzenia przetwarzania danych osobowych są zgodne z przepisami RODO?
  • Jakie są stosowane w organizacji techniczne i organizacyjne środki ochrony danych osobowych?
  • Jak kształtuje się w organizacji Polityka ochrony danych, backupu i zarządzanie uprawnieniami oraz jaki jest ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej?
  • Czy organizacja jest gotowa do stosowania przepisów w zakresie profilowania?
  • Czy są stosowane narzędzia informatyczne do szyfryzacji lub pseudaonimizacji przetwarzanych danych osobowych?
  • Jaki jest poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie tradycyjnej (papierowej)?
  • Jaki jest poziom wiedzy i świadomości pracowników organizacji w zakresie ochrony danych osobowych?

Po wykonaniu audytu ochrony danych osobowych kierownictwo organizacji otrzymuję syntetyczny raport zawierający wyniki i oceny aktualnego stanu systemu ochrony danych osobowych. Na podstawie otrzymanych wyników, rekomendujemy ewentualne działania korygujące, lub czynności, które powinni zostać podjęte, aby dostosować  system ochrony danych organizacji do obowiązujących przepisów prawa.