Zebranie oraz analiza ogólnych informacji na temat przetwarzania danych osobowych w organizacji na podstawie wywiadów przeprowadzonych z administratorem danych osobowych oraz przedstawicielami odpowiednich działów np.: kadry, płace, IT, HR czy marketing;
Określenie celu przetwarzania oraz podstaw prawnych;
Weryfikacja dotychczasowych działań wdrożeniowych, podjętych przez administratora danych lub powołanego inspektora ochrony danych;
Weryfikacja istniejącej dokumentacji związanej z ochroną danych osobowych, pod kątem jej kompletności oraz aktualności w oparciu o Rozporządzenie o Ochronie Danych Osobowych, przepisy Ustawy o Ochronie Danych Osobowych i inne akty prawne;
Inspekcja wymaganych procedur : procedura postępowania w przypadku wystąpienia incydentu, procedura obsługi praw osób fizycznych wynikających z RODO;
Zbadanie sposobów wypełniania fundamentalnego obowiązku informacyjnego, ciążącego na każdym administratorze względem klientów/pacjentów/interesariuszy, pracowników, kandydatów do pracy, oferentów przetargowych, osób monitorowanych;
Kontrola poprawności przetwarzania danych pracowników Organizacji lub kandydatów do pracy w prowadzonych procesach rekrutacyjnych ze szczególnym uwzględnieniem stosowanych upoważnień względem wykonywanych czynności służbowych;
Weryfikacja prowadzonych przez administratora rejestrów: rejestr czynności przetwarzania danych osobowych, rejestr incydentów, rejestr upoważnień do przetwarzania danych, rejestr szkoleń pracowników, rejestr umów powierzenia DO;
Określenie zasadności powołania Inspektora Ochrony Danych, ocena kompetencji oraz wydawanych zaleceń lub wskazówek osoby powołanej na stanowisko IOD;
Kontrola i legalność danych osobowych przekazywanych i powierzanych na zewnątrz organizacji;
Wizja lokalna obszarów i stanowisk przetwarzania danych uwzględniająca sposoby przechowywania oraz zabezpieczania przetwarzanych danych;
Weryfikacja legalności i bezpieczeństwa przetwarzania danych osobowych pozyskiwanych przez stronę internetową: formularze kontaktowe, szyfrowanie połączenia, obowiązki informacyjne, polityka prywatności;
Badanie prawidłowości i legalności stosowanych akcji marketingowych, sprzedażowych i konkursowych: telemarketing, e-mailing, newsletter, organizacja imprez okolicznościowych, FB i inne portale społecznościowe;
Audyt procesów związanych z analizą, szacowaniem i planem postępowania z ryzykiem związanym z przetwarzaniem danych osobowych w Organizacji;
Inspekcja obszaru objętego monitoringiem obejmująca m.in. kontrolę tablic informacyjnych, zasięg kamer, czas przechowywania zapisów czy sposób prawidłowego zabezpieczania i przekazywania zapisów. Kontrola treści regulaminu monitoringu oraz wewnętrznej procedury funkcjonowania monitoringu. Sprawdzenie upoważnień i powierzeń dla podmiotów mających dostęp do monitoringu.
Weryfikacja dostępu do budynków i pomieszczeń z uwzględnieniem pomieszczeń wymagających szczególnej ochrony;
Weryfikacja aplikacji, urządzeń oraz systemów informatycznych wykorzystywanych do procesów przetwarzania danych oraz określenie sposobu ich zabezpieczeń;
Badanie sposobu utylizacji, naprawy lub konserwacji sprzętu zawierającego dane osobowe;
Sporządzenie i wydanie raportu pokontrolnego, zawierającego ocenę wystawioną zgodnie z kryteriami z Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.
Usługa Audytu RODO zakończona jest przekazaniem i omówieniem szczegółowego raportu podzielonego na ok. 25 obszarów tematycznych zawierających:
