Milyen gyakran történjen az adatvédelmi audit!
Ismerjük a saját szervezetünket, tehát tisztában vagyunk az adatkezelések számával; fontos a saját kereteinkkel tisztában lenni, milyen a mozgásterünk. Az eredményeség elérése érdekében évente vagy negyedévente határozzuk meg a céljainkat, melyeket a szervezet vezetőjével előtte hagyassunk jóvá.
Mit auditáljunk?
A szervezeten belül egy adott szakmai területet, ágazatot, vagy egy bizonyos szempontot, például az érintetti jogok hogyan érvényesülnek, vagy a fizikai biztonság hogyan érvényesül szervezeten belül.
Hívjunk-e segítséget?
Szervezeten belüli auditorral, vagy dpo lépjen fel szakértőként és az ellenőrzés alá vont terület képviselőjét kérjük meg együttműködő partnernek.
Miként kezdjük el a munkát?
Gondoljuk végig milyen szempontokra helyezzük a hangsúlyt, a legegyszerűbb az alapelvek mentén haladjunk.
Fogalmazzuk meg mit fogadunk el és mit nem, a hitelesség rendkívül fontos.
Súlyozzunk - legtöbben - a kiszabandó bírságtételekből értünk, azaz egy-egy hiányosság milyen gazdasági hatással bírnak az adatkezelőre.
Az elszámoltathatóság kiemelkedő fontossággal bír az adatkezelésben.
A helyszínen érdemes megbizonyosodni a tényleges gyakorlatról, hagyjuk beszélni az interjú alanyokat.
Szánjunk időt a kollégáinkra.
Az alapelvek mentén haladva, s azon túl még más, egyéb feltételek vizsgálatát is célul tűzhetjük. Mire gondolok?
A nyilvántartás, adattérkép, felsorolásai között szerepel-e a vizsgált adatkezelés?
Az adatfeldolgozói szerződések vagy közös adatkezelői megállapodások minden esetben a tényleges adatkezelésekről szólnak-e vagy egy sablont alkalmazására került sor?
Tartalmilag megfelelően készültek-e el ezek a dokumentumok?
A státuszok (adatkezelő, adatfeldolgozó, közös adatkezelő) meghatározása helytálló-e?
A teljes időszakot lefedi, vagy valamilyen okból, csak részleges, határozott időtartamra jött létre?
Egyéb címzett partnerekkel, szerződéses ügyfelekkel való együttműködési folyamat valamilyen módon dokumentáltan rendelkezésre áll vajon?
Valószínűleg nem mi DPO-k leszünk a legnépszerűbbek, de az adatfeldolgozói státuszban lévő szervezetek ellenőrzése is sok-sok tanúlságot rejthet számunkra.
A nyilvántartások vezetésének ellenőrzése alkalmával szembesülhetünk némi elmaradással, ebben az esetben is át kell gondolni az adott feladat delegálását.
Az adott szervezetnél, adatkezelőnél van-e magas kockázatú adatkezelés? Készült-e előzetesen hatásvizsgálat? Konzultációról - amennyiben történt - készült-e jegyzőkönyv, vagy egy emlékeztető dokumentum? Van-e intézkedési terv, folyamatba épített ellenőrzés, tartottak-e felülvizsgálatot?