audyt danych osobowych

Audyt danych osobowych

Audyt

Audyt w rozumieniu ogólnym jest pojęciem oznaczającym weryfikację stanu zastanego z pewnym wzorcem. Wzorcem tym może być jakaś norma (np. System Zarządzania Bezpieczeństwem Informacji wg ISO 27001), przepis prawa lub wewnętrzne regulacje organizacji, takie jak np. polityki bezpieczeństwa. Audyt danych osobowych będzie zatem sprawdzeniem zgodności z Ustawą o Ochronie Danych Osobowych. Obowiązująca do maja 2018 r. ustawa jest (była) stosunkowo łatwo weryfikowalna pod kątem spełnienia zawartych w niej wymagań.

Zdefiniowane w starej ustawie wymogi techniczne i organizacyjne były nakreślone dosyć precyzyjnie, więc łatwo można orzec o ich spełnieniu/niespełnieniu. Sam tekst ustawy nie był też zbyt obszerny, zatem zapoznać się z nim stosunkowo szybko mogły nawet osoby nie mające prawniczego wykształcenia. Pamiętać jednak należy, że ustawie towarzyszą też rozporządzenia, w których sprecyzowane zostały dokładniej np. obowiązki Administratorów Bezpieczeństwa Informacji czy sposób prowadzenia przez nich rejestrów zbiorów. Aby w pełni zweryfikować zgodność z wymogami ustawy należy też zatem zweryfikować również zgodność z towarzyszącymi jej rozporządzeniami.

Jak audytować?

W przypadku jasno i precyzyjnie określonych wymagań wynikających wprost z przepisów prawa najlepszym narzędziem audytu jest formularz audytowy (kwestionariusz audytu). Formularz taki sporządzić możemy zapoznając się szczegółowo ze standardem, z którym zgodność będziemy chcieli ocenić. Jest to też doskonała okazja do lepszego zapoznania się z przepisami i zapamiętania konkretnych wymogów.

W przypadku audytu danych osobowych formularz audytowy będzie zatem czymś w rodzaju checklisty zawierającej wszystkie określone w ustawie wymogi. Checklistę taką umieścić możemy w arkuszu kalkulacyjnym, w którym łatwo będzie zbudować pola wyboru (tak/nie) lub rozwijane listy z opcjami do wyboru.

Warto pamiętać aby w trakcie audytu zbierać t.zw. materiały dowodowe. Zaznaczając np. w formularzu audytu brak spełnienia wymogu w postaci zabezpieczenia dokumentów przed nieuprawnionym dostępem możemy zrobić zdjęcie pomieszczenia, które później umieścimy w raporcie.

W przypadku wymogów, których spełnienia nie jesteśmy w stanie zweryfikować bezpośrednio i bazujemy na odpowiedziach osób ankietowanych warto poprosić je o podpisanie się pod informacjami, których nam udzieliły.

Formularz audytu danych osobowych

Znajdujący się na tej stronie formularz audytu danych osobowych stworzyłem na własne potrzeby aby ułatwić sobie weryfikację spełnienia ustawowych wymogów. Nie jest on na pewno idealnym i kompletnym narzędziem, ale stanowić może dobry punkt wyjścia do opracowania własnego kwestionariusza audytowego.

Formularz podzielony jest na sekcje odpowiadające poszczególnym artykułom Ustawy o Ochronie Danych Osobowych oraz towarzyszących jej rozporządzeń. Zawiera on ponad 200 wierszy, które odzwierciedlają konkretne wymogi. Niektóre z nich zawierają dodatkowe komentarze i cytaty z ustawy aby ułatwić interpretację wymagań. Formularz zawiera też kolumnę „kary”, w której zacytowane zostały przewidziane ustawowo kary za niespełnienie wymogów danego artykułu.

Wszystkie zawarte na tej stronie materiały, a zatem również udostępniany formularz audytu danych osobowych powstały w duchu idei open source. Udostępniam je więc na zasadach otwartej licencji Creative Commons (CC BY). Oznacza to, że możesz wykorzystać je do celów prywatnych i komercyjnych pod warunkiem pozostawienia w nich informacji o autorze. Proszę o uszanowanie tego wymogu i zachęcam do dalszego udostępniania oraz dzielenia się w komentarzach ewentualnymi uwagami i usprawnieniami.

Raport podsumowujący audyt danych osobowych

Ostatnim etapem, który podsumowuje nasz audyt danych osobowych jest sporządzenie raportu, w którym wskażemy wszelkie zidentyfikowane nieprawidłowości oraz obszary do doskonalenia. Tworząc raport należy pamiętać o fakcie, że zapoznawać się z nim będą różne osoby i nie wszystkie z nich znają szczegółowo zagadnienia związane z badanym obszarem. Warto zatem pomyśleć chociażby o krótkim podsumowaniu, które w przystępny dla każdego sposób oceni stan ogólny. Takie podsumowanie ułatwi zapoznanie się z wynikami audytu osobom z wyższych szczebli w strukturze organizacyjnej.

W zależności od ustaleń poczynionych ze zlecającym audyt raport zawierać może również szczegółowe zalecenia i instrukcje działań koniecznych do wdrożenia w celu naprawy zidentyfikowanych nieprawidłowości.

Jeżeli chciałbyś zobaczyć przykładowy raport zapoznaj się z tym dokumentem. Podsumowuje on audyt danych osobowych, który wykonywałem w ramach warsztatów doskonalących umiejętności ABI. Ponieważ dokument był pracą zbiorową udostępnić mogę tylko fragmenty, których byłem autorem. Myślę jednak, że w zupełności wystarczy to do zapoznania się z tematem osobom nie mającym większego doświadczenia.

A co z RODO?

Audyt danych osobowych na zgodność z przepisami tzw. RODO stanowić będzie niestety dużo większe wyzwanie. Wynika to głównie z nowego podejścia do wymogów dotyczących zabezpieczeń opartego na analizie ryzyka. Z drugiej strony dla osób, które miały do czynienia z Systemami Zarządzania Bezpieczeństwem Informacji wg ISO 27001 podejście takie może się okazać łatwiejsze.

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *