Październik 25, 2016 Tomasz Czarnecki

Audyt ochrony danych osobowych

Co to jest?

Audyt ochrony danych osobowych to zbiór czynności, które mają na celu przede wszystkim sprawdzenie zgodności działania przedsiębiorstwa z obowiązującymi aktualnie przepisami dotyczącymi ochrony danych osobowych. Ponadto na podstawie analizy tych czynności:

  • ustala się administratora danych osobowych,
  • określa się precyzyjnie zbiór danych osobowych,
  • sprawdza się podstawy prawne przetwarzania tych zbiorów,
  • analizuje się zgromadzoną dokumentację,
  • weryfikuje się zabezpieczenia systemów informatycznych z uwzględnieniem zgodności z przepisami prawa,
  • sprawdza się sposób wdrożenia oraz działania procedur dotyczących ochrony danych osobowych,
  • weryfikuje się wszystkie elementy, które mają wpływ na bezpieczeństwo zbiorów.

Rodzaje audytu

W zależności od bieżącej sytuacji oraz określonych potrzeb przedsiębiorstwa przeprowadzić można następujące rodzaje audytów:

  • wewnętrzny – koncentruje się na weryfikowaniu zgodności bieżących procedur firmy w zakresie przetwarzania, przechowywania, zabezpieczania, udostępniania, analizowania, usuwania danych osobowych z dokumentacją RODO oraz regulacjami prawnymi,
  • procedur powiadamiania – analizowanie procedur pod kątem spełniania obowiązków informacyjnych wobec osób, których dane są przetwarzane.
  • polityki bezpieczeństwa informacyjnego – analizie poddawana jest zgodność przetwarzania informacji z zasadami Polityki Bezpieczeństwa Informacji przyjętej przez firmę. Weryfikacji podlega sposób wypełniania obowiązków technicznych, formalno-prawnych, czy organizacyjnych.
  • standaryzacyjny – ma za zadanie wskazanie możliwości ujednolicenia procedur w zakresie przetwarzania danych osobowych, wykorzystywanych w różnych systemach i bazach danych.

W zależności od potrzeb Klienta jesteśmy w stanie przeprowadzić kompleksowy lub częściowy audyt ochrony danych osobowych. Nie należy przy tym mylić audytu z kontrolą, gdyż zadania i cele obu tych procesów różnią się. Rolą audytora jest wsparcie przedsiębiorstwa, by kontrola wypadła pozytywnie. Pełni rolę doradcy, wskazując obszary, w których należy pracować, aby zapewnić prawidłowe funkcjonowanie. Może również zarekomendować konkretne rozwiązania.

Czy warto przeprowadzić audyt?

Jest to proces, który korzystnie wpływa na działanie przedsiębiorstwa w zakresie ochrony danych osobowych. Przeprowadzony audyt pozwala:

  • zweryfikować prawidłowe działanie wdrożonych procedur,
  • sprawdzić słabe strony systemu ochrony zbiorów z informacjami osobowymi,
  • przeanalizować działanie zabezpieczeń w systemach informatycznych,
  • wprowadzić niezbędne zmiany dla usprawnienia działania systemu lub dla zapewnienia jego zgodności z ogólnymi przepisami prawa.

Regularne przeprowadzanie audytów ochrony danych osobowych pozwala odpowiednio reagować na ewentualne nieprawidłowości w systemach zabezpieczeń oraz metodologii przetwarzania zbiorów. Umożliwia także dostosowanie do zmieniających się przepisów prawa, dzięki czemu przedsiębiorstwo jest przygotowane w każdej chwili na kontrolę.

Jak pracujemy?

Audyt przeprowadza wyznaczona przez nas osoba. W przypadku, gdy firma korzysta z naszej pomocy w ramach outsourcingu IOD czynności będzie przeprowadzała osoba odpowiedzialna także za administrowanie bezpieczeństwem informacji. Nasze prace rozpoczynamy z reguły od sprawdzenia dokumentacji. Weryfikujemy między innymi:

  • czy przygotowana została Polityka Bezpieczeństwa oraz Instrukcje zarządzania systemami informatycznymi,
  • czy firma posiada i prowadzi na bieżąco ewidencję upoważnień,
  • czy osoby, które odpowiedzialne są za przetwarzanie danych osobowych posiadają pisemne upoważnienie,
  • czy prowadzona dokumentacja jest zgodna z przepisami prawa.

Dalszym działaniem jest sprawdzenie stanu faktycznego wdrożonych i funkcjonujących procedur. W tym celu nie tylko sprawdzamy dokumentację, ale bazujemy na obserwacji, a w uzasadnionych przypadkach przeprowadzamy wywiad z pracownikami. Weryfikacja stanu faktycznego ma na celu przede wszystkim sprawdzenie czy opracowane zasady bezpieczeństwa faktycznie zostały wdrożone i obowiązują w praktyce. Zwieńczeniem naszych prac jest przygotowanie raportu z audytu, który przedkładamy administratorowi danych osobowych.