Jak provést interní GDPR audit ve vaší firmě — krok za krokem
Praktické tipy15. července 20248 min čtení

Jak provést interní GDPR audit ve vaší firmě — krok za krokem

Zpět na blog

Proč provádět interní GDPR audit

Pravidelný interní audit souladu s GDPR je jedním z nejefektivnějších nástrojů pro udržení vysoké úrovně ochrany osobních údajů ve firmě. Přestože GDPR přímo nestanoví povinnost provádět periodické audity, princip odpovědnosti (accountability) v článku 5 odst. 2 vyžaduje, aby byl správce schopen kdykoli prokázat soulad se všemi principy zpracování osobních údajů.

Doporučujeme provádět interní audit minimálně jednou ročně nebo při jakékoli významné změně v procesech zpracování osobních údajů.

Krok 1: Příprava auditu

Než audit zahájíte, stanovte jeho rozsah a cíle:

  • Určete, zda půjde o kompletní audit nebo audit zaměřený na konkrétní oblast (např. marketingové zpracování, HR procesy).
  • Sestavte auditní tým — ideálně zahrnující DPO, zástupce IT, právního oddělení a klíčových business útvarů.
  • Připravte kontrolní seznamy a dotazníky pro jednotlivé oblasti.
  • Informujte vedení společnosti a získejte jejich podporu.

Krok 2: Revize dokumentace

Začněte kontrolou klíčové dokumentace:

  • Záznamy o činnostech zpracování (článek 30 GDPR) — jsou kompletní a aktuální?
  • Informační povinnost — odpovídají informace poskytované subjektům údajů (privacy policy) aktuálnímu stavu zpracování?
  • Smlouvy se zpracovateli — pokrývají všechny náležitosti článku 28 GDPR?
  • Posouzení vlivu na ochranu osobních údajů (DPIA) — byla provedena pro zpracování s vysokým rizikem?
  • Evidence souhlasů — jsou souhlasy prokazatelné a splňují podmínky platného souhlasu?

Krok 3: Prověření technických opatření

Ověřte implementaci technických opatření k zabezpečení osobních údajů:

Zkontrolujte šifrování dat v klidu i při přenosu, řízení přístupu na principu need-to-know, pravidelné zálohování, systémy detekce narušení bezpečnosti a postup při bezpečnostních incidentech. Zvláštní pozornost věnujte cloudovým službám a externím nástrojům, které zaměstnanci používají pro práci s osobními údaji.

Krok 4: Kontrola procesů

Ověřte funkčnost klíčových procesů:

  • Postup pro vyřizování žádostí subjektů údajů (přístup, výmaz, přenositelnost).
  • Postup pro hlášení porušení zabezpečení osobních údajů (data breach).
  • Proces schvalování nových zpracování osobních údajů.
  • Školení zaměstnanců v oblasti ochrany osobních údajů.

Krok 5: Vyhodnocení a nápravná opatření

Po dokončení auditu vypracujte zprávu obsahující zjištění, hodnocení závažnosti nedostatků a návrhy nápravných opatření s termíny a odpovědnými osobami. Klíčové je, aby audit nebyl jen formální cvičení, ale skutečný nástroj pro kontinuální zlepšování. Sledujte plnění nápravných opatření a zapracujte zjištění do plánu dalšího auditu.

G

GDPR24 tým

Specialisté na ochranu osobních údajů

Potřebujete pomoc s GDPR?

Připravíme vám kompletní GDPR dokumentaci na míru vaší firmě.

Začít zdarma