Audyt
Audyt w rozumieniu ogólnym jest pojęciem oznaczającym weryfikację stanu zastanego z pewnym wzorcem. Wzorcem tym może być jakaś norma (np. System Zarządzania Bezpieczeństwem Informacji wg ISO 27001), przepis prawa lub wewnętrzne regulacje organizacji, takie jak np. polityki bezpieczeństwa. Audyt danych osobowych będzie zatem sprawdzeniem zgodności z Ustawą o Ochronie Danych Osobowych. Obowiązująca do maja 2018 r. ustawa była stosunkowo łatwo weryfikowalna pod kątem spełnienia zawartych w niej wymagań.
Zdefiniowane w starej ustawie wymogi techniczne i organizacyjne były nakreślone dosyć precyzyjnie więc łatwo można orzec o ich spełnieniu/niespełnieniu. Sam tekst ustawy nie był też zbyt obszerny, zatem zapoznać się z nim stosunkowo szybko mogły nawet osoby nie mające prawniczego wykształcenia. Pamiętać jednak należy, że ustawie towarzyszyły też rozporządzenia, w których sprecyzowane zostały dokładniej np. obowiązki Administratorów Bezpieczeństwa Informacji (obecnie Inspektorów Ochrony Danych) czy sposób prowadzenia przez nich rejestrów zbiorów (obecnie rejestrów czynności przetwarzania). Aby w pełni zweryfikować zgodność z wymogami ustawy należało zatem zweryfikować również zgodność z towarzyszącymi jej rozporządzeniami.
Sytuacja uległa pewnej zmianie od wejścia w życie nowych przepisów RODO, które są bardziej obszerne ale jednocześnie w niektórych kwestiach, zwłaszcza technicznych, mniej precyzyjne i pozwalające na elastyczność. Urząd Ochrony Danych Osobowych (dawniej GIODO) w burzliwym okresie szumu medialnego wokół RODO informował, iż organizacje, które spełniają wymogi starej ustawy mogą spać spokojnie. Można zatem wnioskować, iż kontrolerzy weryfikujący zgodność z przepisami w dużej mierze bazować będą na swoim dotychczasowym doświadczeniu i narzędziach. Stosowane zatem dotychczas metody i tzw. check-listy pomimo, iż nie stanowią 100% odzwierciedlenia nowych przepisów mogą okazać się bardzo przydatne. Można bowiem przypuszczać, iż audytorzy w sytuacjach, które dopuszczają pewną elastyczność będą jednak bazując na swoich przyzwyczajeniach wymagali podejścia bardziej rygorystycznego, wynikającego ze starych rozporządzeń.
Jak audytować?
W przypadku jasno i precyzyjnie określonych wymagań wynikających wprost z przepisów prawa najlepszym narzędziem audytu jest formularz audytowy (kwestionariusz audytu). Formularz taki sporządzić możemy zapoznając się szczegółowo ze standardem, z którym zgodność będziemy chcieli ocenić. Jest to też doskonała okazja do lepszego zapoznania się z przepisami i zapamiętania konkretnych wymogów.
W przypadku audytu danych osobowych formularz audytowy będzie zatem czymś w rodzaju checklisty zawierającej wszystkie określone w ustawie wymogi. Checklistę taką umieścić możemy w arkuszu kalkulacyjnym, w którym łatwo będzie zbudować pola wyboru (tak/nie) lub rozwijane listy z opcjami do wyboru.
Warto pamiętać aby w trakcie audytu zbierać t.zw. materiały dowodowe. Zaznaczając np. w formularzu audytu brak spełnienia wymogu w postaci zabezpieczenia dokumentów przed nieuprawnionym dostępem możemy zrobić zdjęcie pomieszczenia, które później umieścimy w raporcie.
W przypadku wymogów, których spełnienia nie jesteśmy w stanie zweryfikować bezpośrednio i bazujemy na odpowiedziach osób ankietowanych warto poprosić je o podpisanie się pod informacjami, których nam udzieliły.
Formularz audytu danych osobowych
Poniżej możecie pobrać formularz audytu danych osobowych, który stworzyłem na własne potrzeby aby ułatwić sobie weryfikację spełnienia starych wymogów ustawy i towarzyszących jej rozporządzeń. Nie jest on na pewno idealnym i kompletnym narzędziem, ale stanowić może dobry punkt wyjścia do opracowania własnego kwestionariusza audytowego.
Formularz zawiera ponad 200 wierszy, które odzwierciedlają konkretne wymogi. Niektóre z nich zawierają dodatkowe komentarze i cytaty z ustawy aby ułatwić interpretację wymagań.
Wszystkie zawarte na tej stronie materiały, a zatem również udostępniany formularz audytu danych osobowych powstały w duchu idei open source. Udostępniam je więc na zasadach otwartej licencji Creative Commons (CC BY). Oznacza to, że możesz wykorzystać je do celów prywatnych i komercyjnych pod warunkiem pozostawienia w nich informacji o autorze. Proszę o uszanowanie tego wymogu i zachęcam do dalszego udostępniania oraz dzielenia się w komentarzach ewentualnymi uwagami i usprawnieniami.
Aby uzyskać dostęp do formularza audytowego pozostaw poniżej swój e-mail i potwierdź chęć subskrybowania newslettera:
Raport podsumowujący audyt danych osobowych
Ostatnim etapem, który podsumowuje nasz audyt danych osobowych jest sporządzenie raportu, w którym wskażemy wszelkie zidentyfikowane nieprawidłowości oraz obszary do doskonalenia. Tworząc raport należy pamiętać o fakcie, że zapoznawać się z nim będą różne osoby i nie wszystkie z nich znają szczegółowo zagadnienia związane z badanym obszarem. Warto zatem pomyśleć chociażby o krótkim podsumowaniu, które w przystępny dla każdego sposób oceni stan ogólny. Takie podsumowanie ułatwi zapoznanie się z wynikami audytu osobom z wyższych szczebli w strukturze organizacyjnej.
W zależności od ustaleń poczynionych ze zlecającym audyt raport zawierać może również szczegółowe zalecenia i instrukcje działań koniecznych do wdrożenia w celu naprawy zidentyfikowanych nieprawidłowości.
Wzór takiego raportu otrzymacie również zapisując się na newsletter przez formularz w punkcie poprzednim. Podsumowuje on audyt danych osobowych, który wykonywałem w ramach warsztatów doskonalących umiejętności ABI. Ponieważ dokument był pracą zbiorową udostępnić mogę tylko fragmenty, których byłem autorem. Myślę jednak, że w zupełności wystarczy to do zapoznania się z tematem osobom nie mającym większego doświadczenia.
Co nowego w RODO?
Audyt danych osobowych na zgodność z przepisami RODO stanowi trochę większe wyzwanie. Wynika to głównie z nowego podejścia do wymogów dotyczących zabezpieczeń opartego na analizie ryzyka. Z drugiej strony dla osób, które miały do czynienia z Systemami Zarządzania Bezpieczeństwem Informacji wg ISO 27001 podejście takie może się okazać łatwiejsze. Oprócz stosowania podstawowych narzędzi typu arkusze audytowe i check-listy warto na pewno zastanowić się nad przeprowadzeniem dodatkowego audytu bezpieczeństwa informacji lub testów socjotechnicznych, które pomogą nam realnie ocenić zagrożenia i przeprowadzić analizę ryzyka.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.