Menu

Audit GDPR


Audit ochrany osobních údajů je nezbytnou součástí zajištění ochrany osobních údajů a je nutné ho provádět 1x ročně. Audit je zaměřen na hodnocení souladu zpracování s právními požadavky.

Hlavní cíle auditu:


  • Posouzení a zhodnocení zajištění ochrany osobních údajů
  • Identifikace oblastí pro zlepšení
  • Poskytování informací subjektům údajů
  • Poskytování informací ÚOOÚ a externím subjektům

Zjištění z auditu ochrany osobních údajů slouží pro zlepšování ochrany osobních údajů a zajištění neustálého souladu systému ochrany osobních údajů s požadavky GDPR

Realizace auditu


Vedoucí auditor postupuje dle stanoveného plánu auditu tak, aby zajistil dostatečné množství informací a důkazů pro následné stanovení zjištění z auditu. Podrobný postup při auditu závisí na celé řadě faktorů, zejména na cíli auditu, kritériích auditu, sledu činností v auditovaném procesu, na zvyklostech v auditovaném útvaru apod.

Jako základní zdroje informací z auditu slouží interní dokumentace ochrany osobních údajů, především vyplněné plány a záznamy, dále zprávy z předchozích auditů, záznamy o zjištěných incidentech a požadavcích subjektů, záznamy o kontrole apod.

Součástí každého auditu je hodnocení plnění opatření z předchozích auditů. Pro zajištění potřebných informací o dané činnosti je třeba kontaktovat pracovníka, který tuto činnost vykonává. Množství, kvalitu a rychlost získání informací při rozhovorech auditora s pracovníky zásadním způsobem ovlivňuje formulace a způsob kladení otázek. Při vlastním kladení otázek auditor formuluje otázky tak, aby dostal odpovědi na:

JAK, CO, PROČ, KDY, KDE, KDO, CO KDYŽ
a odpovědi následně doplní požadavkem UKAŽ!

Shromážděné informace by měl auditor ověřit a jejich platnost doložit objektivními důkazy, které musí získat z jiných nezávislých zdrojů (tj. rozhovory s jinými pracovníky, fyzické zjišťování, měření, výsledky testů, ostatní záznamy apod.). Pokud se objeví v odpovědích rozpor, je třeba dalšího prověření a získání objektivních důkazů. Součástí auditu je také prosté pozorování činností jednotlivých pracovníků a srovnání prováděných činností s dokumentací ochrany osobních údajů.

Vedoucí auditor zaznamenává zjištěné důkazy.

Zpráva z auditu


Po provedení auditu vedoucí auditor zpracuje zprávu z auditu.

Zpráva z auditu je jasná, stručná a důkazy úplně dokumentuje a vyhodnocuje a porovnává zjištění vzhledem ke kritériím auditu.

Součástí zjištění může být specifikace neshod a případně podnětů pro přijetí nápravného opatření, případně dalších doporučení.

Závěrečná zpráva z auditu je předložena auditovaným stranám.

Reaudit


Jedná se o opakovaný audit, který probíhá obvykle 1x ročně, či po stanovené době po implementaci opatření.
Provádí se pravidelně, aby bylo zajištěno, že nastavené procesy jsou správně dodržovány.

Analýza GDPR


Z Auditu GDPR se vypracovává zpráva s názvem Analýza GDPR, která má následující obsah.

 

Společnost

  • Identifikační údaje
  • Podnikatelská činnost
  • Lokality a objekty společnosti
  • Certifikace

 

Identifikovaná zpracování OÚ

  • Personalistika
  • Uchazeči o zaměstnání
  • Účetnictví
  • Obchod
  • Věrnostní program
  • Marketing
  • Specifická zpracování dané společnosti

 

Fyzická bezpečnost

  • Hlavní prostory s uložením OÚ
  • Klíčový režim
  • Přístupový systém
  • Ostraha objektu
  • Elektronický zabezpečovací systém
  • Kamerový systém
  • Úklid

 

Administrativní bezpečnost

  • Řízení dokumentace a skartace

 

Informační technologie

  • Síť
  • Připojení k internetu
  • Čtečky čárového kódu
  • Servery
  • Virtualizace
  • Koncová zařízení
  • Router/firewall
  • Tiskárny
  • Informační systémy
  • Elektronická pošta
  • Datová úložiště
  • Řízení přístupů
  • Zálohování
  • Antivirová ochrana
  • Vzdálené přístupy

 

Analýza rizik zpracování OÚ

  • Metodika analýzy rizik
  • Vyhodnocení rizik
  • Závěr

 

Povinnosti z GDPR

  • Pověřenec pro ochranu osobních údajů
  • Posouzení vlivu na ochranu osobních údajů
  • Získání nových souhlasů se zpracováním OÚ

 

Navrhovaný postup implementace GDPR

  • Postupy řízení dokumentace
  • Bezpečnostní politika společnosti
  • Postupy a procesy pro zpracování OÚ
  • Revize smluv a souhlasů se zpracováním OÚ
  • Implementace technických a IT opatření

Popis organizace

 

Identifikovaná zpracování OÚ

  • Personalistika
  • Uchazeči o zaměstnání
  • Účetnictví
  • Místní poplatky
  • Matrika a evidence obyvatel
  • Odbor úřadu
  • Personalistika JSDH
  • Místní knihovna
  • Městská policie
  • Sběrný dvůr
  • Domy s pečovatelskou službou
  • Informační centrum
  • Prezentace města/obce
  • Volby

 

Fyzická bezpečnost

  • Hlavní prostory s uložením OÚ
  • Klíčový režim
  • Přístupový systém
  • Elektronický zabezpečovací systém
  • Kamerový systém
  • Úklid

 

Administrativní bezpečnost

  • Řízení dokumentace a skartace

 

Informační technologie

  • Síť
  • Připojení k internetu
  • Virtualizace
  • Klientská pracoviště
  • Tiskárny
  • Informační systémy
  • Datová úložiště
  • Řízení přístupů
  • Zálohování
  • Antivirová ochrana
  • Vzdálené přístupy
  • Monitoring

 

Analýza rizik zpracování OÚ

  • Metodika analýzy rizik
  • Vyhodnocení rizik
  • Závěr

 

Povinnosti z GDPR

  • Pověřenec pro ochranu osobních údajů
  • Posouzení vlivu na ochranu osobních údajů
  • Získání nových souhlasů se zpracováním OÚ

 

Navrhovaný postup implementace GDPR

  • Aktualizovat interní dokumentaci úřadu
  • Bezpečnostní politika
  • Postupy a procesy pro zpracování OÚ
  • Revize smluv, žádostí a souhlasů se zpracováním OÚ
  • Školení

Popis organizace

  • Identifikační údaje
  • Lokality a objekty organizace

 

Identifikovaná zpracování OÚ

  • Ředitel
  • Personalistika
  • Účetnictví
  • Matrika
  • Učitelé
  • Školní poradenské pracoviště
  • Dotace
  • Datová schránka
  • Evidence úrazů
  • Fotografie
  • Webové stránky školy
  • Soutěže
  • Nástěnky
  • Kroužky
  • Výlety
  • Lyžařský kurz
  • Třídní kniha
  • Známkování dětí
  • Omluvenky
  • Jídelna
  • Družina

 

Fyzická bezpečnost

  • Docházkový systém
  • Kamerový systém
  • Hlavní prostory s uložením OÚ
  • Klíčový režim
  • Úklid

 

Administrativní bezpečnost

 

Informační technologie

  • Počítačová síť
  • Wi-Fi
  • Servery
  • Koncová zařízení
  • Tiskárny
  • Připojení k internetu
  • Router/firewall
  • Informační systémy
  • Elektronická pošta
  • Zálohování
  • Vzdálené přístupy

 

Analýza rizik zpracování OÚ

  • Metodika analýzy rizik
  • Vyhodnocení rizik
  • Závěr

 

Povinnosti z GDPR

  • Pověřenec pro ochranu osobních údajů
  • Posouzení vlivu na ochranu osobních údajů
  • Získání nových souhlasů se zpracováním OÚ

 

Navrhovaný postup implementace GDPR

  • Postupy a procesy pro zpracování OÚ
  • Revize smluv, žádostí a souhlasů se zpracováním OÚ
  • Školení

Bezplatná konzultace

Máte zájem o bezplatnou konzultaci? Kontaktujte nás nebo nám zanechte svůj e-mail, my se Vám ozveme.

Petr-Nepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.