Z przetwarzaniem danych osobowych wiąże się wiele zagrożeń dla bezpieczeństwa informacji oraz praw osób, których dane dotyczą. Z tego względu konieczne jest zapewnienie należytej kontroli procesów przetwarzania danych.
Wykonujemy pełny audyt zgodności wprowadzonych u naszych klientów zasad pracy na danych osobowych z aktualnie obowiązującymi przepisami prawa. W ramach tej usługi sprawdzamy, czy aktualnie funkcjonujące rozwiązania spełniają ustawowe wymagania dotyczące bezpieczeństwa i ochrony danych osobowych. Weryfikujemy również kompleksowość, spójność i efektywność istniejących procedur.
W ramach podejmowanych przez nas działań w tym zakresie badamy m.in.:
- miejsce i sposób przechowywania danych osobowych oraz zastosowane zabezpieczenia,
- rodzaj i charakter przetwarzanych danych osobowych oraz możliwość ich przyporządkowania do konkretnych zbiorów,
- sposób, dopuszczalność prawną i zasadność gromadzenia określonych typów danych osobowych,
- istniejącą dokumentację prawną,
- strukturę, sposób działania i funkcjonalność systemu informatycznego wykorzystywanego do przetwarzania danych oraz zastosowane zabezpieczenia, procedury nadawania pracownikom uprawnień do pracy z wykorzystaniem danych osobowych,
- procedury kontroli i nadzoru nad bezpieczeństwem przetwarzania danych osobowych,
- zasady i podstawy współpracy z podmiotami zewnętrznymi, w ramach której dochodzi do powierzenia lub udostępnienia danych osobowych.
ETAPY REALIZACJI USŁUGI
1. Identyfikacja:
-
- zbiorów, w których są lub będą przetwarzane dane osobowe,
- systemów informatycznych służących do przetwarzania danych osobowych,
- zastosowanych zabezpieczeń logicznych,
- zastosowanych zabezpieczeń fizycznych,
- wdrożonych rozwiązań organizacyjnych.
2. Audyt procesu przetwarzania danych osobowych:
-
- rozpoznanie środków technicznych wykorzystywanych w procesie przetwarzania danych osobowych,
- diagnoza uchybień w procesie przetwarzania danych osobowych,
- wskazanie rozwiązań umożliwiających usunięcie zdiagnozowanych uchybień.
3. Audyt systemu ochrony danych osobowych:
Analiza istniejącej dokumentacji wymaganej w przepisach o ochronie danych osobowych, w tym:
- polityki bezpieczeństwa informacji w zakresie danych osobowych,
- instrukcji zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych osobowych,
- wzoru ewidencji osób upoważnionych do przetwarzania danych osobowych,
- wzoru upoważnień do przetwarzania danych osobowych,
- wzoru oświadczeń pracowników o zapoznaniu się z obowiązującymi procedurami.
Przegląd innej dokumentacji, w tym:
- opisu obszaru, w którym przetwarzane są dane osobowe,
- opisu struktury zbiorów danych osobowych,
- sposób przepływu danych osobowych pomiędzy poszczególnymi systemami informatycznymi.
4. Sprawdzenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, w ramach wymogów ustawy o ochronie danych osobowych, na poziomie:
-
- infrastruktury informatycznej wykorzystywanej w procesie przetwarzania danych osobowych,
- zabezpieczeń obszaru przetwarzania danych osobowych w formie tradycyjnej (papierowej).
5. Badanie obowiązków w zakresie rejestracji zbiorów:
-
- zgłoszenie zbiorów do rejestracji w GIODO,
- aktualizacja zgłoszonych wcześniej zbiorów,
- wskazanie podstawy prawnej w przypadku braku konieczności zgłaszania zbioru do rejestracji.
Produkt końcowy stanowi Raport zawierający:
- ogólną ocenę ochrony danych osobowych,
- uchybienia w procesie przetwarzania danych osobowych,
- wskazanie rekomendacji usunięcia zidentyfikowanych uchybień,
- odniesienie do aktów prawnych i dobrych praktyk w zakresie nadzoru nad danymi osobowymi.
KORZYŚCI:
- spełnianie wymogów określonych w przepisach dotyczących ochrony danych osobowych (stosowna dokumentacja, wdrożenie odpowiednich rozwiązań technicznych i informatycznych, przeszkolony personel),
- aktualne rozpoznanie problemów związanych z ochroną danych osobowych, bieżący nadzór nad stanem zabezpieczeń zapewniających bezpieczeństwo danych.