Audyt ochrony danych osobowych w organizacji

6 września 2021
Bartlomiej Niezabitowski
Audyt ochrony danych osobowych w organizacji
4 min.

Ochrona danych osobowych nie polega na samym opracowaniu dokumentacji wymaganej przepisami prawa. Jakie aspekty funkcjonowania firmy należy przeanalizować, aby ocenić poziom ochrony danych osobowych?

Ochrona danych osobowych nie polega na samym opracowaniu dokumentacji wymaganej przepisami prawa – to ciągły proces wymagający usprawnień, korekt i edukacji pracowników oraz kadry zarządzającej. Aby móc zdiagnozować aspekty wymagające korekty lub opracowania ich na nowo – niezbędnym i koniecznym jest przeprowadzenia audytu zgodności z wymaganiami nałożonymi przez przepisy prawa w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Podkreślić należy, że audyt nie jest równoznaczny z wdrożeniem RODO. Prawidłowo przeprowadzony audyt zobrazuje, jakie dane osobowe i w jaki sposób są przetwarzane w organizacji, w konsekwencji będziemy mogli podjąć decyzje co do zakresu i sposobu zaimplementowania wewnętrznego systemu ochrony danych osobowych.

Co powinien objąć audyt ochrony danych osobowych?

W pierwszej kolejności należy przeprowadzić kontrolę dotychczasowych działań i metod ich wdrożenia (o ile takie były) zastosowanych w organizacji. Podstawą takiej kontroli jest przeprowadzenie wywiadów z pracownikami poszczególnych działów, w których są przetwarzane dane osobowe – HR, marketing, IT, kadry, księgowość itp. Ochrona danych osobowych to praca na żywym organizmie, dlatego najwięcej informacji uzyskamy od osób, które mają z nimi ciągłą styczność. W trakcie badania poszczególnych działów można jednocześnie sprawdzić zakres wydanych pracownikom przez administratora danych osobowych upoważnień do przetwarzania. Następnym etapem jest tzw. mapowanie procesów przetwarzania danych osobowych poprzez ustalenie zakresu oraz kategorii czynności przetwarzania danych, celu ich przetwarzania, podstaw prawnych legalizujących ich przetwarzanie, czy są powierzane podmiotom trzecim lub transferowane do państw trzecich. Po ustaleniu powyższych zagadnień można przejść do weryfikacji istniejącej dokumentacji pod kątem jej kompletności, aktualności i poprawności.

Do podstawowych składowych dokumentacji należą przede wszystkim klauzule informacyjne, rejestry, wewnętrzne procedury (m.in. postępowania w przypadku wystąpienia incydentu bezpieczeństwa). Ważnym etapem jest przeprowadzenie wizji lokalnej obszarów i stanowisk, w których są przetwarzane dane osobowe, w trakcie których należy zbadać sposoby przechowywania i zabezpieczania przetwarzania. Praktycznym rozwiązaniem jest równoległa weryfikacja aplikacji, urządzeń i systemów informatycznych wykorzystywanych do procesów przetwarzania danych oraz określenie sposobu ich zabezpieczeń.

Jeśli organizacja prowadzi własną stronę czy sklep internetowy, należy zweryfikować legalność i bezpieczeństwo przetwarzania danych przez nią pozyskiwanych (np. poprzez formularz kontaktowy) – spełnienie obowiązku informacyjnego, treść polityki prywatności, polityki plików cookies, szyfrowane połączenie za pomocą certyfikatu SSL. Równocześnie pamiętać należy o analizie treści stosowanych zgód marketingowych przy wykorzystaniu np. newslettera, telemarketingu czy kampanii mailingowych. Jeśli firma w tym zakresie korzysta z usług zewnętrznych dostawców, należy zweryfikować stosowne umowy pod kątem postanowień umownych dotyczących ochrony danych osobowych i odpowiedzialności stron.

Najczęstsze luki i błędy w ochronie danych osobowych

Skrupulatnie przeprowadzony audyt pozwoli zidentyfikować potencjalne ryzyka naruszenia ochrony danych oraz ocenić prawdopodobieństwo ich wystąpienia. Wśród najczęściej spotykanych nieprawidłowości znajdują się m.in. przyznanie osobom nieupoważnionym dostępu do danych osobowych, brak lub niekompletność dokumentacji i procedur z zakresu ochrony danych osobowych, nieszyfrowanie lub brak hasłowania plików zawierających dane osobowe czy niezgodność obowiązujących procedur ze stanem faktycznym.

System naczyń połączonych

Aby rzeczywiste obchodzenie się z danymi osobowymi w przedsiębiorstwie odpowiadało przepisom RODO i wewnętrznym regulacjom, konieczne jest wsparcie osoby odpowiedzialnej za obszar przetwarzania danych przez inne działy organizacji. W szczególności nieodzowna jest współpraca działu prawnego z działem IT, a także ze wszystkimi kierownikami wyższego i niższego szczebla całej firmy oraz z działem HR, który może odegrać kluczową rolę w zaplanowaniu edukacji i podnoszeniu świadomości pracowników w zakresie bezpieczeństwa informacji (planowanie i realizacja szkoleń, weryfikacja wiedzy itp.).

Audyt i co dalej?

Po każdym audycie warto sporządzić raport zawierający listę uchybień i zagadnień wymagających usprawnień lub zmiany. Raport powinien zawierać rekomendacje konkretnych działań naprawczych, z którymi powinny zapoznać się wszystkie osoby zaangażowane w ich wdrożenie. Aby zalecenia poaudytowe zostały z sukcesem wprowadzone w życie, w kolejnym kroku należy przydzielić odpowiednie role uczestnikom projektu i wyznaczyć osobę odpowiedzialną za koordynację realizacji ustalonych działań w założonym harmonogramie.

Na koniec należy rozważyć powołanie Inspektora Ochrony Danych (IOD)– w niektórych przypadkach jego wyznaczenie jest obligatoryjne (art. 37 RODO). Jednakże, nawet gdy dany podmiot nie ma obowiązku prawnego aby powołać IOD, dobrą praktyką jest jednak jego wyznaczenie. Pożądanym i dobrze ocenianym przez Urząd Ochrony Danych Osobowych jest ustanowienie osoby odpowiedzialnej za nadzór nad zapewnieniem zgodności z przepisami prawa z zakresu ochrony danych osobowych.

System dla IOD

W swojej pracy IOD może skorzystać z aplikacji RODO Productive24. RODO Productive24 pozwala w bezpieczny i efektywny sposób zarządzać obszarem przetwarzania danych osobowych w organizacji. System zbudowano w technologii Productive24, dzięki czemu temu możliwe jest jego błyskawiczne i elastyczne modyfikowanie oraz dostosowanie do potrzeb danego przedsiębiorstwa, a także do zmieniających się przepisów prawa czy jego nowych interpretacji. Rozwiązanie zapewnia m.in.:

  • Łatwy dostęp do danych
  • System powiadomień
  • Zarządzanie upoważnieniami i żądaniami.
  • Zarządzanie ryzykiem.
  • Rejestry związane z przetwarzaniem danych osobowych.

Ochrona danych osobowych – cykl Deminga

Jak wspomniano na początku, przeprowadzenie audytu ochrony danych, opracowanie rekomendacji usprawnień i wdrożenie ich w życie nie zamykają definitywnie tematu ochrony danych w organizacji sprawiając, że władze organizacji i IOD mogą już zawsze spać spokojnie. Biorąc pod uwagę specyfikę zagadnienia, zarządzanie danymi osobowymi w organizacji należy traktować jako nieustanny proces, który powinien być stale monitorowany i optymalizowany. Niezbędnym elementem tego procesu jest właśnie przeprowadzany cyklicznie i zawsze z najwyższą starannością audyt ochrony danych.