Audyt stosowanych przez przedsiębiorstwa procedur związanych z ochroną danych osobowych ma dwa podstawowe cele. Po pierwsze potwierdzenie, w jakim stopniu dane osobowe są chronione przez firmę oraz czy dzieje się to w sposób zgodny z wymaganiami określonymi przez rozporządzenie RODO. Po drugie, efektem audytu jest wskazanie ewentualnych niedociągnięć oraz udzielenie rekomendacji dotyczących koniecznych działań. Dzięki audytowi można więc stworzyć plan dostosowania procedur firmy do przepisów prawa.
Z punktu widzenia podmiotu przetwarzającego audyt jest procedurą chroniącą przed roszczeniami ze strony osób, których dane są przetwarzane a także przed ewentualnymi sankcjami ze strony organów kontrolnych. Zgodnie z duchem rozporządzenia RODO, przeprowadzenie audytu jest również dowodem na to, że przedsiębiorstwo przywiązuje należytą staranność do dochowania procedur związanych z ochroną danych osobowych.
W ramach audytu należy przeanalizować istniejącą dokumentację, szczególnie w zakresie procesów przetwarzania danych osobowych. Ocenie powinny podlegać zawarte przez przedsiębiorstwo umowy dotyczące powierzenia danych a także zgody na ich przetwarzanie wraz ze stosowanymi klauzulami informacyjnymi. Kolejny obszar działań audytorskich to ocena systemu komputerowego, w tym sprzętu i oprogramowania. Chodzi zarówno o fizyczny dostęp do pomieszczeń, w których znajdują się serwery lub terminale sieciowe, jak i siłę oraz aktualność stosowanych zabezpieczeń i haseł.
Szczegółowe pytania, na jakie powinien odpowiedzieć audyt to między innymi: w jaki sposób i w jakim zakresie przedsiębiorstwo przetwarza dane osobowe osób fizycznych, czy przechowywanie i przetwarzanie danych jest powierzane podmiotom zewnętrznym, czy należy powołać inspektora ochrony danych oraz jakiego rodzaju rejestry związane z czynnościami przetwarzania powinny być prowadzone. W szczególny sposób należy zwrócić uwagę na ryzyko powstania naruszeń. W tym zakresie ogromne znaczenie ma doświadczenie audytora.
Podstawy procedury audytu oparte są na dwóch przepisach rozporządzenia RODO. Artykuł 28 mówi o tym, że podmiot przetwarzający ma obowiązek umożliwić administratorowi lub audytorowi przeprowadzenie audytu. Z kolei artykuł 39 powierza kompetencje dotyczące wykonywania audytów działającemu w firmie inspektorowi danych osobowych.
Jednak w wielu sytuacjach złożoność zagadnienia wymaga powierzenia przeprowadzania audytu wyspecjalizowanej firmie zewnętrznej, takiej jak Aegis Security. Dobra praktyka biznesowa powinna wymagać okresowego przeprowadzania audytów zgodności z przepisami RODO, tym bardziej, że konsekwencje zaniedbań lub naruszeń mogą być bardzo poważne.