Audyt RODO

Weryfikujemy zgodność z RODO

Po co audyt zgodności z RODO?

Audyt jest potrzebny, by w przypadku kontroli mieć potwierdzenie wykonania przez zewnętrznego audytora przeglądu zgodności stosowanych środków organizacyjnych i technicznych w celu ochrony danych.

Dowiedz się, czy prawidłowo wypełniasz podstawowe obowiązki w zakresie ochrony danych.

Audyt RODO i testy penetracyjne

Prowadzimy testy penetracyjne, które często wykonujemy w powiązaniu z audytem RODO. Dzięki testom dowiesz się o miejscach, które mogą być źródłem wycieku (naruszenia) danych.

Uniknij kar poprzez usunięcie słabych punktów oraz wdrożenie skutecznych rozwiązań ochrony danych.

Audyt RODO i testy socjotechniczne

Wykonujemy testy socjotechniczne, które ujawnią słabości Twoich pracowników. Zleć nam testy socjotechniczne powiązane z audytem RODO i zadbaj o bezpieczeństwo danych.

Naucz ludzi jak chronić informacje ze szczególnym uwzględnieniem danych osobowych.

Podstawy prawne oraz transparentność przetwarzania danych osobowych

Badamy jakie informacje przetwarzasz i kto ma do nich dostęp.

Opracowujemy rejestr czynności przetwarzania, który jest wymagany dla wszystkich podmiotów publicznych.

Organizacje zatrudniające co najmniej 250 pracowników lub przetwarzające dane o podwyższonym ryzyku (dane medyczne, CV, dane o osobach niepełnosprawnych, związane z pomocą społeczną) są zobowiązane do prowadzenia aktualnej i szczegółowej listy swoich działań związanych z przetwarzaniem danych oraz do przygotowywania się do przedstawienia tej listy organom regulacyjnym na żądanie. Najlepszym sposobem wykazania zgodności z RODO jest ocena skutków przetwarzania danych osobowych (DPIA). Organizacje zatrudniające mniej niż 250 pracowników powinny również przeprowadzić ocenę, ponieważ ułatwi to spełnienie innych wymagań RODO. W ramach badania oceniamy również zastosowane środki organizacyjne i techniczne w celu ochrony danych.

Badamy zakres, cele oraz bezpieczeństwo przetwarzania względem podstaw prawnych

Przetwarzanie danych osobowych jest zgodne z RODO tylko wtedy, gdy można je uzasadnić jednym z sześciu warunków wymienionych w art. 6 lub w art. 7-11 dotyczące dzieci i szczególnych kategorii danych osobowych. Badamy podstawę prawną i dokumentujemy.

Badamy zasadność oraz konieczność przetwarzania na podstawie zgody osoby fizycznej.

Jeżeli podstawę prawną stanowi art. 6 ust. 1 lit. f „uzasadnione interesy” badamy ocenę wpływu na prywatność.

Badamy jasność przekazu dotyczącego ochrony danych

Weryfikujemy czy poprawnie informujesz osoby o tym w jaki sposób i w jakim celu zbierasz dane osobowe: w jaki sposób przetwarzane są dane, kto ma do nich dostęp i jak je zabezpieczasz.

Tworzymy dokumentację dotyczącą obowiązku informacyjnego aby przedstawić wszystkie elementy w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka, w szczególności w przypadku wszelkich informacji adresowanych konkretnie do dziecka.

Bezpieczeństwo danych od strony organizacyjnej i technicznej

Weryfikujemy przetwarzanie danych od chwili rozpoczęcia przez cały czas trwania

Weryfikujemy przestrzegania zasad ochrony danych fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).
Badamy stan wdrożenia środków technicznych i organizacyjnych w celu ochrony danych nie tylko osobowych.
Weryfikujemy czy przed rozpoczęciem jakiegokolwiek działania badasz jego wpływ na ochronę danych.
Upewniamy się, że przetwarzanie danych osobowych jest zgodne z zasadami ochrony danych opisanymi w art. 5. Środki techniczne obejmują szyfrowanie, przesyłanie w bezpieczny sposób np.: ePUAP, a środki organizacyjne to między innymi ograniczenie ilości gromadzonych danych osobowych lub usuwanie danych, których już nie potrzebujesz. Sprawdzamy czy Ty i Twoi pracownicy jesteście świadomi zasada ochrony danych.

Budujemy System Zarządzania Bezpieczeństwem Informacji

Bezpieczeństwo to nie tylko elementy techniczne, ale również skuteczna oraz możliwa do wdrożenia polityka bezpieczeństwa informacji oraz polityka ochrony danych osobowych w postaci zestawu procedur, instrukcji oraz zaleceń, które mają na celu systematyzację procesów przetwarzania danych.
Przedstawiana przez nas dokumentacja jest zrozumiała oraz czytelna dla pracowników.
Zabezpiecza również na wypadek kontroli zewnętrznej i umożliwia rozliczenie na wypadek kontroli zgodności z RODO.

Sprawdzamy procesy pseudonimizacji, szyfrowania, anonimizacji

Weryfikujemy oraz radzimy w jaki sposób wdrożyć szyfrowanie, anonimizację oraz procesy ograniczające możliwość naruszenia danych poprzez ich wyciek, zniszczenie, nieuprawniony dostęp czy edycję.

Ocena skutków przetwarzania danych osobowych

Weryfikujemy oraz prowadzimy ocenę skutków przetwarzania dla danych osobowych mających wpływ na ograniczenie lub naruszenia praw i wolności osób fizycznych.

Dotyczy to głównie procesów przetwarzania danych, w których przetwarzane są informacje o stanie zdrowia, wyznaniu, dane genetyczne, ale również tam gdzie przetwarzany jest nr dowodu czy PESEL.

Zarządzanie bezpieczeństwem oraz rozliczność

Odpowiedzialność osobowa

Sprawdzamy kto w organizacji i na jakiej podstawie został powołany do pełnienia funkcji osoby odpowiedzialnej za zgodność z RODO.

Jest to ważna część procesu rozliczalności oraz bezpieczeństwa przy projektowaniu.

Umowy powierzenia przetwarzania danych

Sprawdzamy poprzez inwentaryzację z kim i w jaki sposób zostały podpisane umowy powierzenia przetwarzania danych osobowych. Ważnym elementem jest prawidłowość treści umowy by gwarantowała ona Administratorowi zachowanie zgodności z RODO. Przekazujemy również wzory umów.

Stosowane środki ochrony danych

Badamy jakie środki oraz w jakim zakresie stosuje Administrator w celu ochrony danych.

Weryfikujemy ich skuteczność oraz wiarygodność od strony technicznej oraz organizacyjnej.

Polityka bezpieczeństwa

Gdy podmiot ma wdrożoną politykę bezpieczeństwa (PBI, SZBI, PBDO) weryfikujemy czy jest ona zrozumiała i czy funkcjonuje w praktyce, aby nie było rozbieżności oraz niejasności.

Bardzo często podczas audytów spotykamy się z ogromnymi rozbieżnościami pomiędzy dokumentacją, a rzeczywistością. Równie często widujemy, że dokumentacja traktowana jest jedynie jako wymóg formalny. Sprawdzając stan faktyczny chronimy klientów przez zarzutem braku rzetelności do ochrony danych oraz konsekwencji w działaniu.

Wypełnianie praw do prywatności

Prawo do informacji o przetwarzaniu danych osobowych

Weryfikujemy jak wypełniasz prawo osób, których dane przetwarzasz do wglądu w ich dane, jakie dane osobowe masz na ich temat i jak z nich korzystasz.

Sprawdzamy w jaki sposób wypełniasz prawo do informowania jak długo planujesz przetwarzać (przechowywać) dane osobowe i jakie masz do tego prawo.

Weryfikujemy możliwości aktualizacji danych

Weryfikujemy aktualność i poprawność oraz możliwość aktualizacji danych osobowych ze szczególnym uwzględnieniem systemów informatycznych.

Dane powinny być jak najbardziej aktualne, aby ich przetwarzanie nie powodowało negatywnych skutków w przetwarzaniu.

Zautomatyzowane podejmowanie decyzji i profilowanie

Badamy w jaki sposób i kto przetwarza automatycznie lub półautomatycznie dane osobowe. Weryfikujemy również w jaki sposób przetwarzane są dane składowane w chmurze wraz z weryfikacją miejsca ich przetwarzania.