Tvarkomų asmens duomenų auditas (inventorizacija)

Tvarkomų asmens duomenų auditas (inventorizacija) – organizacijos tvarkomų asmens duomenų, jų tvarkymo tikslų, pagrindų ir kitų su organizacijos atliekamu asmens duomenų tvarkymu susijusių aspektų nustatymas ir įvertinimas. Atsižvelgiant į Bendrajame duomenų apsaugos reglamente 2016/679 (toliau – BDAR) įtvirtintą atskaitomybės principą duomenų apsaugos auditą (inventorizaciją) rekomenduojama užfiksuoti raštu ir atlikti ne rečiau kaip kartą per metus arba pasikeitus organizacijos duomenų tvarkymo procesams ir/ar teisės aktams, reguliuojantiems asmens duomenų tvarkymą. Duomenų apsaugos auditas (inventorizacija) organizacijoje turėtų būti vykdomas pagal nustatytą procedūrą ir patvirtintą aprašą bei atitinkamas formas, o jų parengimo ir užpildymo instrukcijas galėtų pateikti BDAR mokymai.

Duomenų apsaugos auditas (inventorizacija) skirtas tam, kad būtų nustatyta:

1) kokie asmens duomenys organizacijoje tvarkomi (kokių kategorijų)?

2) kaip asmens duomenys gaunami (kokie duomenų šaltiniai)?

3) kokiais tikslais asmens duomenys tvarkomi?

4) kokiu pagrindu asmens duomenys tvarkomi?

5) kam ir kur asmens duomenys perduodami?

6) kokie asmenys organizacijoje atsakingi už asmens duomenų tvarkymą?

7) kiek laiko asmens duomenys saugomi?

Šie ir kiti susiję aspektai yra nustatomi ir vertinami atliekant organizacijos duomenų apsaugos auditą (inventorizaciją). BDAR reikalavimai numato, kad asmens duomenys turi būti tvarkomi vadovaujantis BDAR 5 str. numatytais principais ir organizacija (duomenų valdytojas) turi sugebėti įrodyti kaip organizacijoje jų laikomasi,  būtent iš įpareigojimo užtikrinti šių principų įgyvendinimą  ir išplaukia reikalavimas atlikti duomenų apsaugos auditą.

Duomenų apsaugos auditas (inventorizacija) sudaro sąlygas:

1) nustatyti neatitikties rizikas ir imtis veiksmų joms valdyti;

2) parinkti tinkamas asmens duomenų apsaugos priemones;

3) suefektyvinti organizacijos atliekamus asmens duomenų tvarkymo procesus;

4) užpildyti duomenų tvarkymo veiklos įrašus;

5) efektyviai įgyvendinti duomenų subjektų teises;

6) laikytis duomenų saugojimo terminų;

7) atlikti poveikio duomenų apsaugai vertinimus.

Duomenų apsaugos auditą (inventorizaciją) organizacijoms gali padėti atlikti specializuoti BDAR mokymai, kurių metu, remiantis BDAR reikalavimais, apmokoma kaip vykdyti duomenų apsaugos auditą (inventorizaciją), supažindinama su duomenų apsaugos audito (inventorizacijos) atlikimo procedūra ir pavyzdinėmis formomis. Duomenų apsaugos audito (inventorizacijos) ataskaitos – vienas iš svarbiausių ir organizacijos duomenų apsaugos pareigūno darbo priemonių.