Proč provádět interní GDPR audit
Pravidelný interní audit souladu s GDPR je jedním z nejefektivnějších nástrojů pro udržení vysoké úrovně ochrany osobních údajů ve firmě. Přestože GDPR přímo nestanoví povinnost provádět periodické audity, princip odpovědnosti (accountability) v článku 5 odst. 2 vyžaduje, aby byl správce schopen kdykoli prokázat soulad se všemi principy zpracování osobních údajů.
Doporučujeme provádět interní audit minimálně jednou ročně nebo při jakékoli významné změně v procesech zpracování osobních údajů.
Krok 1: Příprava auditu
Než audit zahájíte, stanovte jeho rozsah a cíle:
- Určete, zda půjde o kompletní audit nebo audit zaměřený na konkrétní oblast (např. marketingové zpracování, HR procesy).
- Sestavte auditní tým — ideálně zahrnující DPO, zástupce IT, právního oddělení a klíčových business útvarů.
- Připravte kontrolní seznamy a dotazníky pro jednotlivé oblasti.
- Informujte vedení společnosti a získejte jejich podporu.
Krok 2: Revize dokumentace
Začněte kontrolou klíčové dokumentace:
- Záznamy o činnostech zpracování (článek 30 GDPR) — jsou kompletní a aktuální?
- Informační povinnost — odpovídají informace poskytované subjektům údajů (privacy policy) aktuálnímu stavu zpracování?
- Smlouvy se zpracovateli — pokrývají všechny náležitosti článku 28 GDPR?
- Posouzení vlivu na ochranu osobních údajů (DPIA) — byla provedena pro zpracování s vysokým rizikem?
- Evidence souhlasů — jsou souhlasy prokazatelné a splňují podmínky platného souhlasu?
Krok 3: Prověření technických opatření
Ověřte implementaci technických opatření k zabezpečení osobních údajů:
Zkontrolujte šifrování dat v klidu i při přenosu, řízení přístupu na principu need-to-know, pravidelné zálohování, systémy detekce narušení bezpečnosti a postup při bezpečnostních incidentech. Zvláštní pozornost věnujte cloudovým službám a externím nástrojům, které zaměstnanci používají pro práci s osobními údaji.
Krok 4: Kontrola procesů
Ověřte funkčnost klíčových procesů:
- Postup pro vyřizování žádostí subjektů údajů (přístup, výmaz, přenositelnost).
- Postup pro hlášení porušení zabezpečení osobních údajů (data breach).
- Proces schvalování nových zpracování osobních údajů.
- Školení zaměstnanců v oblasti ochrany osobních údajů.
Krok 5: Vyhodnocení a nápravná opatření
Po dokončení auditu vypracujte zprávu obsahující zjištění, hodnocení závažnosti nedostatků a návrhy nápravných opatření s termíny a odpovědnými osobami. Klíčové je, aby audit nebyl jen formální cvičení, ale skutečný nástroj pro kontinuální zlepšování. Sledujte plnění nápravných opatření a zapracujte zjištění do plánu dalšího auditu.
GDPR24 tým
Specialisté na ochranu osobních údajů