Ustalenia pomiędzy zamawiającym a wykonawcą:

• Określamy plan, zakres oraz kryteria audytu.
• Spotkanie otwierające działania audytowe. 

Zakres audytu:

• Sprawdzenie podstaw przetwarzania danych osobowych obejmując:
  • Weryfikacja zgód na przetwarzanie danych osobowych (dobrowolność wyrażania zgody, domniemanie, zasada celowości). Z uwzględnieniem procesu rekrutacji i danych zbieranych od osób niebędących członkami spółdzielni.
  • Obowiązki prawne i umowne. Stosowanie art. 30 prawa spółdzielczego w zakresie prowadzenia rejestru członków oraz weryfikacja Statutu spółdzielni.
  • Uzasadniony interes Administratora, w szczególności zbieranie danych w ramach ewidencji korespondencji, przyjmowania awarii i usterek, realizacji celów statutowych.
  • Badanie zasadności przetwarzania danych szczególnej kategorii oraz form ich zabezpieczeń (tzw. wrażliwych) tj. informacje przekazywane w sprawach dotyczących zadłużenia i ich udostępnianie.
• Weryfikacja realizacji obowiązków informacyjnych i sprawdzenie procesu profilowania danych osobowych:
  • Spełnienie obowiązku informacyjnego (kompletność przekazywanych danych, jasność i przejrzystość informacji)
  • Realizacja i spełnienie obowiązków dla profilowania danych.
  • Analiza i ocena spełnienia obowiązków organizacji w zakresie rozporządzenia o ochronie danych osobowych
• Wdrożenie dokumentacji ochrony danych osobowych tzw. polityk ochrony,
  • Prowadzenie rejestrów czynności przetwarzania
  • Weryfikacji przygotowanej oceny skutków dla ochrony danych
  • Procedury zarządzania ryzykiem
  • Obowiązek realizacji oceny
  • Postępowanie i procedury związane z naruszeniami danych osobowych
  • Ocena stopnia zabezpieczenia danych osobowych, stosowanych środków organizacyjnych
• Badanie przygotowania do zmian w zakresie inspektora ochrony danych
  • Wyznaczenie inspektora ochrony danych
  • Status i pozycja DPO
  • Zadania i przygotowanie DPO
• Sprawowanie nadzoru nad elektronicznym przetwarzanie danych osobowych
• Wydawanie poleceń i upoważnień przez Administratora
• Wizja lokalna obszaru przetwarzania
• Sprawdzenie wdrożonych form zabezpieczeń fizycznych
• Ocena stopnia zabezpieczenia danych osobowych, stosowanych środków technicznych infrastruktury informatycznej
• Mierzenie skuteczności mechanizmów kontrolnych dla wprowadzonych środków
• Zabezpieczenia danych przetwarzanych mobilnie
• Przygotowanie na utratę dostępności
• Polityki haseł i ich stosowanie
• Zabezpieczenia sieci
• Badanie ankietowe związane z wymaganiami dla systemów przetwarzających dane osobowe
• Badanie procesów współpracy z podmiotami zewnętrznymi – powierzenie przetwarzania danych osobowych
• Kryteria doboru i stosowane klauzule umowne
• Podpisane umowy i sprawowany nadzór

Podsumowanie oraz wnioski z przeprowadzonego audytu:

• Sporządzamy raport z audytu zawierający ocenę w zakresie zapewnienia skutecznego poziomu bezpieczeństwa ochrony danych osobowych. Oceny te zostaną podzielone na:
  • Oceny wynikające z niezgodności z obowiązującymi wymaganiami prawnymi
  • Oceny wynikające z niezgodności ze opublikowanymi zaleceniami Grupy Roboczej Artykułu 29
  • Oceny wynikające z dobrych praktyk, których wdrożenie zoptymalizuje techniczne i/lub organizacyjne mechanizmy zabezpieczające dane osobowe

• Spotkanie zamykające wraz z przedstawieniem spostrzeżeń
• Przekazanie raportu
• Doradzamy w zakresie ochrony danych osobowych