Na czym polega audyt bezpieczeństwa danych osobowych i jak wygląda krok po kroku? Jakie są cele takiego działania? Odpowiadamy na te pytania oraz wyjaśniamy, kiedy warto zlecić audyt firmie zewnętrznej.
Czym jest audyt?
Zacznijmy od definicji słowa audyt. Według internetowego wydania Słownika Języka Polskiego jest to «kontrola przedsiębiorstwa pod względem finansowym i organizacyjnym, wycena jego majątku oraz analiza perspektyw jego rozwoju, przeprowadzana przez ekspertów». Z kolei według Wikipedii audyt to “niezależna ocena danej organizacji, systemu, procesu, projektu lub produktu”. Pojęcie to funkcjonuje również w prawie ochrony danych osobowych i jest to działanie bliskie temu, co proponuje drugie wyjaśnienie. Audyt bezpieczeństwa danych osobowych to jedno z najważniejszych i najskuteczniejszych narzędzi Inspektora Ochrony Danych Osobowych.
Cele audytu bezpieczeństwa danych osobowych
Znajomość przepisów RODO w IT oraz wszystkich innych branżach, które przechowują i przetwarzają dane osobowe podmiotów, jest obowiązkiem administratora danych. Jednym z narzędzi, które mogą pomóc w ocenie poprawności wdrożonych przepisów, jest audyt. Nadrzędnym celem audytu bezpieczeństwa ochrony danych osobowych jest ocena, czy system ochrony danych osobowych w firmie, która zleciła audyt, jest zgodny z aktualnie obowiązującymi w Polsce przepisami.
Inne, pomniejsze cele to:
- pewność, że w razie kontroli nie zostaną wykazane żadne nieprawidłowości. W dalszej konsekwencji to działanie przeciwdziała ewentualnym karom za nieprzestrzeganie przepisów,
- aktualizowanie procedur. Prawo jest stale nowelizowane, nie wystarczy raz wdrożyć RODO i nigdy więcej nie wracać do tego tematu wewnątrz swojej jednostki (np. firmy). Audyt wykaże wszelkie braki i miejsca, które wymagają zaktualizowania,
- weryfikacja, czy Inspektor Ochrony Danych, jeżeli w firmie istnieje takie stanowisko, wypełnia prawidłowo i rzetelnie swoje obowiązki,
- identyfikacja ryzyka, jakie może wystąpić w firmie zlecającej audyt,
- weryfikacja dokumentacji i procedur,
- sprawdzenie poziomu zabezpieczeń,
- sprawdzenie stanu faktycznego i porównanie z tym, co widnieje w dokumentacji.
Audyt bezpieczeństwa danych osobowych krok po kroku
Audyt bezpieczeństwa danych osobowych można podzielić na następujące etapy:
- faza zerowa, która polega na gromadzeniu informacji,
- faza pierwsza, której głównym zadaniem jest analiza i ewidencja informacji,
- faza końcowa, która polega na wyciągnięciu wniosków z audytu, planowaniu, co należy wdrożyć oraz przedstawieniu końcowego raportu wraz z zaleceniami.
Faza pierwsza może rozbijać się na dodatkowe, mniejsze etapy, o czym mowa już za chwilę.
Zanim firma zewnętrzna, której zlecono przeprowadzenie audytu, przejdzie do właściwej części powierzonego zadania, wcześniej wykonuje szereg innych czynności. Pierwszą z nich jest tzw. audyt zerowy. Polega ona na wstępnym badaniu i ocenie poziomu bezpieczeństwa danych osobowych w jednostce zlecającej audyt. W jaki sposób jest przeprowadzane to badanie? Analiza najczęściej opiera się na ankiecie wstępnej, którą firma zlecająca audyt uzupełnia. Na podstawie odpowiedzi udzielonych w ankiecie firma zewnętrzna rozpoczyna analizę potrzeb firmy i punktuje miejsca, które wymagają poprawy.
Właściwa – pierwsza faza – składa się z następujących kroków:
- inwentaryzacji,
- weryfikacji.
Najważniejszym zadaniem w fazie inwentaryzacji jest właściwe zidentyfikowanie wszelkich procesów, które występują w danej jednostce i biorą udział w przetwarzaniu danych osobowych. Inwentaryzacja, na co wskazuje jej nazwa, to również stworzenie ewidencji – w tym wypadku wszelkich obszarów przetwarzania danych osobowych.
Faza weryfikacji polega na ocenie, czy zostały spełnione wszelkie wymogi i zasady przetwarzania danych osobowych. Ponadto również na tym etapie sprawdzane są wszelkie dokumenty, takie jak klauzule informujące o zakresie przetwarzania danych, wszelkie zgody na przetwarzanie itp. Odrębną częścią fazy weryfikacji jest audyt zastosowanych środków zapewniających bezpieczeństwo danych osobowych. Sprawdzenia i weryfikacji wymaga wiele obszarów, m.in.: bezpieczeństwa fizycznego i środowiskowego, bezpieczeństwa osobowego oraz bezpieczeństwa informatycznego.
Najważniejsze zadania w zakresie ochrony fizycznej to wyznaczenie bezpiecznych obszarów w firmie, kontrola osób z zewnątrz oraz ich dostępu do danych osobowych, a także ochrona kabli, wchodzących w skład infrastruktury informatycznej. Środkami ochrony fizycznej mogą być zarówno czynne działania, np. ochroniarza czy dozorcy, jak również środki budowlane lub mechaniczne (np. furtka, barierki, kłódki, sejf), systemy do monitoringu i alarmy. Obszary zagadnień bezpieczeństwa informatycznego to m.in.: systemy szyfrowania danych, zapewnienie poufności danych, umożliwienie przywrócenia dostępu do danych, w razie usterki, a także wiele innych działań.
Ostatni – końcowy – etap audytu bezpieczeństwa danych osobowych, to przygotowanie i przedstawienie raportu końcowego. Od firmy, której zlecono przeprowadzenie audytu, należy wymagać, by raportowała swoje działania. Taki dokument w przejrzysty sposób przedstawi wszystkie zalecenia, które należy wdrożyć, by stwierdzone nieprawidłowości zostały usunięte.
Zdjęcie: Fotolia