Audyty RODO

Weryfikujemy zgodność z RODO

Dlaczego to my powinniśmy wykonać audyt RODO?

Po co audyt zgodności z RODO?

Audyt jest potrzebny, by w przypadku kontroli mieć potwierdzenie wykonania przez zewnętrznego audytora przeglądu zgodności stosowanych środków organizacyjnych i technicznych w celu ochrony danych.

Dowiedz się, czy prawidłowo wypełniasz podstawowe obowiązki w zakresie ochrony danych.

Audyt RODO i testy penetracyjne

Prowadzimy testy penetracyjne, które często wykonujemy w powiązaniu z audytem RODO. Dzięki testom dowiesz się o miejscach, które mogą być źródłem wycieku (naruszenia) danych.

Uniknij kar poprzez usunięcie słabych punktów oraz wdrożenie skutecznych rozwiązań ochrony danych.

Dowiedz się więcej

Audyt RODO i testy socjotechniczne

Wykonujemy testy socjotechniczne, które ujawnią słabości Twoich pracowników. Zleć nam testy socjotechniczne powiązane z audytem RODO i zadbaj o bezpieczeństwo danych.

Naucz ludzi jak chronić informacje ze szczególnym uwzględnieniem danych osobowych.

Dowiedz się więcej

Podstawy prawne oraz transparentność przetwarzania danych osobowych

Opracowujemy rejestr czynności przetwarzania, który jest wymagany dla wszystkich podmiotów publicznych.

Organizacje zatrudniające co najmniej 250 pracowników lub przetwarzające dane o podwyższonym ryzyku (dane medyczne, CV, dane o osobach niepełnosprawnych, związane z pomocą społeczną) są zobowiązane do prowadzenia aktualnej i szczegółowej listy swoich działań związanych z przetwarzaniem danych oraz do przygotowywania się do przedstawienia tej listy organom regulacyjnym na żądanie. Najlepszym sposobem wykazania zgodności z RODO jest ocena skutków przetwarzania danych osobowych (DPIA). Organizacje zatrudniające mniej niż 250 pracowników powinny również przeprowadzić ocenę, ponieważ ułatwi to spełnienie innych wymagań RODO. W ramach badania oceniamy również zastosowane środki organizacyjne i techniczne w celu ochrony danych.

Przetwarzanie danych osobowych jest zgodne z RODO tylko wtedy, gdy można je uzasadnić jednym z sześciu warunków wymienionych w art. 6 lub w art. 7-11  dotyczące dzieci i szczególnych kategorii danych osobowych. Badamy podstawę prawną i dokumentujemy.

Badamy zasadność oraz konieczność przetwarzania na podstawie zgody osoby fizycznej. 

Jeżeli podstawę prawną stanowi art. 6 ust. 1 lit. f „uzasadnione interesy” badamy ocenę wpływu na prywatność.

Weryfikujemy czy poprawnie informujesz osoby o tym w jaki sposób i w jakim celu zbierasz dane osobowe: w jaki sposób przetwarzane są dane, kto ma do nich dostęp i jak je zabezpieczasz.

Tworzymy dokumentację dotyczącą obowiązku informacyjnego aby przedstawić wszystkie elementy w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka, w szczególności w przypadku wszelkich informacji adresowanych konkretnie do dziecka.

Bezpieczeństwo danych od strony organizacyjnej i technicznej

Weryfikujemy przestrzegania zasad ochrony danych fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).

Badamy stan wdrożenia środków technicznych i organizacyjnych w celu ochrony danych nie tylko osobowych.

Weryfikujemy czy przed rozpoczęciem jakiegokolwiek działania badasz jego wpływ na ochronę danych.

Upewniamy się, że przetwarzanie danych osobowych jest zgodne z zasadami ochrony danych opisanymi w art. 5. Środki techniczne obejmują szyfrowanie, przesyłanie w bezpieczny sposób np.: ePUAP, a środki organizacyjne to między innymi ograniczenie ilości gromadzonych danych osobowych lub usuwanie danych, których już nie potrzebujesz. Sprawdzamy czy Ty i Twoi pracownicy jesteście świadomi zasada ochrony danych.

Bezpieczeństwo to nie tylko elementy techniczne, ale również skuteczna oraz możliwa do wdrożenia polityka bezpieczeństwa informacji oraz polityka ochrony danych osobowych w postaci zestawu procedur, instrukcji oraz zaleceń, które mają na celu systematyzację procesów przetwarzania danych.

Przedstawiana przez nas dokumentacja jest zrozumiała oraz czytelna dla pracowników.

Zabezpiecza również na wypadek kontroli zewnętrznej i umożliwia rozliczenie na wypadek kontroli zgodności z RODO.

Weryfikujemy oraz radzimy w jaki sposób wdrożyć szyfrowanie, anonimizację oraz procesy ograniczające możliwość naruszenia danych poprzez ich wyciek, zniszczenie, nieuprawniony dostęp czy edycję.

Weryfikujemy oraz prowadzimy ocenę skutków przetwarzania dla danych osobowych mających wpływ na ograniczenie lub naruszenia praw i wolności osób fizycznych.

Dotyczy to głównie procesów przetwarzania danych, w których przetwarzane są informacje o stanie zdrowia, wyznaniu, dane genetyczne, ale również tam gdzie przetwarzany jest nr dowodu czy PESEL.

Zarządzanie bezpieczeństwem oraz rozliczność

Sprawdzamy kto w organizacji i na jakiej podstawie został powołany do pełnienia funkcji osoby odpowiedzialnej za zgodność z RODO.

Jest to ważna część procesu rozliczalności oraz bezpieczeństwa przy projektowaniu.

Sprawdzamy poprzez inwentaryzację z kim i w jaki sposób zostały podpisane umowy powierzenia przetwarzania danych osobowych. Ważnym elementem jest prawidłowość treści umowy by gwarantowała ona Administratorowi zachowanie zgodności z RODO.
 
Przekazujemy również wzory umów.

Badamy jakie środki oraz w jakim zakresie stosuje Administrator w celu ochrony danych.

Weryfikujemy ich skuteczność oraz wiarygodność od strony technicznej oraz organizacyjnej.

Gdy podmiot ma wdrożoną politykę bezpieczeństwa (PBI, SZBI, PBDO) weryfikujemy czy jest ona zrozumiała i czy funkcjonuje w praktyce, aby nie było rozbieżności oraz niejasności.

Bardzo często podczas audytów spotykamy się z ogromnymi rozbieżnościami pomiędzy dokumentacją, a rzeczywistością. Równie często widujemy, że dokumentacja traktowana jest jedynie jako wymóg formalny. Sprawdzając stan faktyczny chronimy klientów przez zarzutem braku rzetelności do ochrony danych oraz konsekwencji w działaniu.

Wypełnianie praw do prywatności

Weryfikujemy jak wypełniasz prawo osób, których dane przetwarzasz do wglądu w ich dane, jakie dane osobowe masz na ich temat i jak z nich korzystasz.

Sprawdzamy w jaki sposób wypełniasz prawo do informowania jak długo planujesz przetwarzać (przechowywać) dane osobowe i jakie masz do tego prawo.

Weryfikujemy aktualność i poprawność oraz możliwość aktualizacji danych osobowych ze szczególnym uwzględnieniem systemów informatycznych.

Dane powinny być jak najbardziej aktualne, aby ich przetwarzanie nie powodowało negatywnych skutków w przetwarzaniu.

Badamy w jaki sposób i kto przetwarza automatycznie lub półautomatycznie dane osobowe. Weryfikujemy również w jaki sposób przetwarzane sa dane składowane w chmurze wraz z weryfikacją miejsca ich przetwarzania.