Co musi zawierać audyt RODO?

ODPOWIEDŹ

Audyt RODO powinien obejmować dwie sfery: obszar formalno-prawny oraz obszar techniczno-informatyczny.

W ramach obszaru techniczno-informatycznego powinny zostać wykonane m.in.:

• weryfikacja stosowanych mechanizmów kontroli dostępu do systemów informatycznych;
• analiza adekwatności zabezpieczeń fizycznych z  uwzględnieniem pomieszczeń serwerowni, archiwum, pomieszczenia działu personalnego, działu IT i księgowości;
• sprawdzenie procesu zarządzania uprawnieniami;
• weryfikacja procesu zarządzania kopiami zapasowymi;
• badanie zabezpieczeń stacji komputerowych, urządzeń mobilnych, nośników i urządzeń;
• sprawdzenie zabezpieczeń komunikacji w sieci LAN/WAN;
• weryfikacja dokumentacji bezpieczeństwa teleinformatycznego i fizycznego;
• sprawdzenie poziomu wiedzy i świadomości pracowników organizacji (testy online, pogłębione wywiady).

W ramach obszaru formalno-prawnego:

• analiza procesów przetwarzania danych osobowych, w stosunku do których organizacja jest podmiotem przetwarzającym;
• realizacja praw osób, których dane dotyczą;
• analiza obowiązujących polityk i procedur przetwarzania danych osobowych;
• analiza procesów przetwarzania danych osobowych, w stosunku do których organizacja jest administratorem danych.