Ustalenia pomiędzy zamawiającym a wykonawcą:

• Określamy plan, zakres oraz kryteria audytu.
• Spotkanie otwierające działania audytowe. 

Zakres audytu:

• Sprawdzenie systemu monitoringu wizyjnego w szczególności weryfikacja spełnienia Art.  108a. ustawy Prawo Oświatowe:
  • Weryfikacja celów realizowanego monitoringu wizyjnego;
  • Analiza umiejscowienia kamer monitoringu wizyjnego;
  • Oględziny systemu informatycznego i rejestratora;
  • Weryfikacja czas przechowywania monitoringu wizyjnego;
  • Kontrola dostępu i zabezpieczenie nagrań;
  • Realizowanie obowiązku informacyjnego w kontekście monitoringu wizyjnego oraz poinformowanie uczniów i pracowników w szkole.
• Sprawdzenie podstaw przetwarzania danych osobowych obejmując:
  • Weryfikacja zgód na przetwarzanie danych osobowych (dobrowolność wyrażania zgody, domniemanie, zasada celowości). Z uwzględnieniem procesu rekrutacji.
  • Obowiązki prawne i umowne.
  • Uzasadniony interes Administratora,
• Weryfikacja realizacji obowiązków informacyjnych i sprawdzenie procesu profilowania danych osobowych:
  • Spełnienie obowiązku informacyjnego (kompletność przekazywanych danych, jasność i przejrzystość informacji)
  • Realizacja i spełnienie obowiązków dla profilowania danych.
• Analiza i ocena spełnienia obowiązków organizacji w zakresie rozporządzenia o ochronie danych osobowych:
  • Wdrożenie dokumentacji ochrony danych osobowych tzw. polityk ochrony,
  • Prowadzenie rejestrów czynności przetwarzania
  • Weryfikacji przygotowanej oceny skutków dla ochrony danych
  • Procedury zarządzania ryzykiem
  • Obowiązek realizacji oceny
  • Postępowanie i procedury związane z naruszeniami danych osobowych
• Ocena stopnia zabezpieczenia danych osobowych, stosowanych środków organizacyjnych:
  • Badanie przygotowania do zmian w zakresie inspektora ochrony danych
  • Wyznaczenie inspektora ochrony danych
  • Status i pozycja DPO
  • Zadania i przygotowanie DPO
  • Sprawowanie nadzoru nad elektronicznym przetwarzanie danych osobowych
  • Wydawanie poleceń i upoważnień przez Administratora
  • Wizja lokalna obszaru przetwarzania
  • Sprawdzenie wdrożonych form zabezpieczeń fizycznych
• Ocena stopnia zabezpieczenia danych osobowych, stosowanych środków technicznych infrastruktury informatycznej
  • Mierzenie skuteczności mechanizmów kontrolnych dla wprowadzonych środków
  • Zabezpieczenia danych przetwarzanych mobilnie
  • Przygotowanie na utratę dostępności
  • Polityki haseł i ich stosowanie
  • Zabezpieczenia sieci
  • Badanie ankietowe związane z wymaganiami dla systemów przetwarzających dane osobowe
• Badanie procesów współpracy z podmiotami zewnętrznymi – powierzenie przetwarzania danych osobowych
  • Kryteria doboru i stosowane klauzule umowne
  • Podpisane umowy i sprawowany nadzór

Podsumowanie oraz wnioski z przeprowadzonego audytu:
​

• ​Sporządzamy raport z audytu zawierający ocenę w zakresie zapewnienia skutecznego poziomu bezpieczeństwa ochrony danych osobowych.  
• Spotkanie zamykające wraz z przedstawieniem spostrzeżeń
• Przekazanie raportu
• Doradztwo 14 dniowe