Co musi zawierać audyt RODO?
ODPOWIEDŹ
Audyt RODO powinien obejmować dwie sfery: obszar formalno-prawny oraz obszar techniczno-informatyczny.
W ramach obszaru techniczno-informatycznego powinny zostać wykonane m.in.:
- weryfikacja stosowanych mechanizmów kontroli dostępu do systemów informatycznych;
- analiza adekwatności zabezpieczeń fizycznych z uwzględnieniem pomieszczeń serwerowni, archiwum, pomieszczenia działu personalnego, działu IT i księgowości;
- sprawdzenie procesu zarządzania uprawnieniami;
- weryfikacja procesu zarządzania kopiami zapasowymi;
- badanie zabezpieczeń stacji komputerowych, urządzeń mobilnych, nośników i urządzeń;
- sprawdzenie zabezpieczeń komunikacji w sieci LAN/WAN;
- weryfikacja dokumentacji bezpieczeństwa teleinformatycznego i fizycznego;
- sprawdzenie poziomu wiedzy i świadomości pracowników organizacji (testy online, pogłębione wywiady).
W ramach obszaru formalno-prawnego:
- analiza procesów przetwarzania danych osobowych, w stosunku do których organizacja jest podmiotem przetwarzającym;
- realizacja praw osób, których dane dotyczą;
- analiza obowiązujących polityk i procedur przetwarzania danych osobowych;
- analiza procesów przetwarzania danych osobowych, w stosunku do których organizacja jest administratorem danych.