Audyt Ochrony Danych Osobowych

Zapewnienie bezpieczeństwa danych nie jest prostym zadaniem i wymaga ciągłych nakładów pracy, planowania, oraz edukacji użytkowników, co nie w każdym środowisku jest wykonalne oraz postrzegane jako priorytet.

Audyt ochrony danych osobowych jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane, a ich skutki na czas korygowane.

Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem, który stanowi punkt odniesienia. W wypadku danych osobowych:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  2. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. 2018, Poz. 1000).

Odbywa się analiza i ocena dokumentacji w zakresie bezpieczeństwa informacji, w tym polityk, procedur, zarządzeń, instrukcji, umów oraz innych dokumentów, które zostaną udostępnione do analizy.

Powyższe dokumenty zostają sprawdzone pod kątem aktualności i poprawności względem siebie. Ponadto weryfikowane jest czy wprowadzone w organizacji dokumenty są przestrzegane zgodnie z zawartymi w nich zapisami. Może to oznaczać przegląd wymienionych w dokumentacji rejestrów, list, raportów jak np. dziennik administratora systemu, dziennik wykonywania kopii lub wyniki z przeglądów uprawnień.

Przeprowadzane są również wywiady z wytypowanymi pracownikami poszczególnych komórek organizacyjnych w zakresie niezbędnym do ustalenia poziomu stosowania wymagań bezpieczeństwa oraz z wewnętrznymi uregulowaniami, w celu ustalenia faktów niezawartych lub niewynikających wprost z dokumentacji, najczęściej z osobą odpowiedzialną za dział IT – ASI, również IOD, pracownikiem ds. ryzyka, kadrową oraz pracownikami obsługi klienta.

Prowadzone są obserwacje budynku, pomieszczeń, działań i zachowań pracowników oraz przeprowadzana jest analiza bezpieczeństwa informacji w systemach teleinformatycznych.

Wynikiem audytu ochrony danych osobowych jest raport zawierający wykryte niezgodności oraz dotyczące ich zalecenia naprawcze.