Kiedy i po co robić audyt ochrony danych osobowych?

Kiedy i po co robić audyt ochrony danych osobowych?

W 1997 roku została w Polsce przyjęta ustawa o ochronie danych osobowych. Określa ona zasady przetwarzania, zabezpieczenia i udostępniania danych osobowych osób fizycznych. Organem powołanym do spraw ochrony danych osobowych jest Generalny Inspektor Danych Osobowych. Obowiązek przestrzegania zapisów ustawy o ochronie danych osobowych spoczywa na szkołach, uczelniach wyższych, urzędach, fundacjach i organizacjach. W ochronie danych osobowych we wspomnianych jednostkach pomagają Administratorzy Danych Osobowych oraz Administratorzy Bezpieczeństwa Informacji. Ale korzystanie z pomocy ABI nakłada na wspomniane wyżej podmioty obowiązek składania raz w roku raportu do Generalnego Inspektora Danych Osobowych. Aby raport ten być rzetelny warto wykonać audyt bezpieczeństwa danych osobowych.

Jakie są cele audytu?

Zlecają wykonanie audytu ochrony danych osobowych można:

ustalić jakie dane należą do administratora, a jakie zostały mu powierzone;

precyzyjnie określić jakie są zbiory danych osobowych;

sprawdzić, czy zbiory zarejestrowane w GIODO przed rokiem 2015 (w tym roku ustawa o ochronie danych osobowych została znowelizowana) są zgodne z zapisami nowej ustawy.

W trakcie audytu zostanie dokonana także analiza, czy systemy informatyczne są zabezpieczone zgodnie z obowiązującymi przepisami prawnymi. Dodatkowo zostanie sprawdzone również, czy procedury i zasady ochrony danych osobowych zostały poprawnie wdrożone i czy funkcjonują one w sposób poprawny.

Jakie korzyści przynosi audyt ochrony danych osobowych?

Wszystkie podmioty, które zobowiązane są do przestrzegania zapisów ustawy o ochronie danych osobowych muszą być przygotowane na kontrolę ze strony Generalnego Inspektora Danych Osobowych. Jeżeli w razie kontroli zostaną wykryte nieprawidłowości, należy liczyć się z możliwością poniesienia odpowiedzialności karnej. Audyt pozwoli na wcześniejsze wykrycie ewentualnych nieprawidłowości i ich usunięcie. Tym samym widmo odpowiedzialności karnej zostanie zostanie odsunięte. Audyt zawsze kończy się sporządzeniem raportu, usunięcie ewentualnych nieprawidłowości nie będzie więc żadnym problemem. Dodatkowo bowiem w raporcie znajdą się sugestie jakie rozwiązania należy zastosować, aby podnieść poziom ochrony danych osobowych. Osoby przeprowadzające audyt są bardzo kompetentne, wychwycą więc najmniejsze uchybienie. Zewnętrzni audytorzy nie tylko dysponują odpowiednią wiedzą pozwalającą obiektywną ocenę bezpieczeństwa danych, ale są także niezwykle skrupulatni.

Jak wykorzystać wyniki audytu?

Po audycie wykonywany jest raport, a zawarte w nim dane można wykorzystać do wdrożenia prawidłowych procedur:

pozyskiwania danych osobowych;

wprowadzania ich do systemu informatycznego;

wykorzystywania w wersji papierowej i elektronicznej;

archiwizowania;

przechowywania;

usuwania.

Podmiot, który zleci audyt nie tylko zapewni rzetelne bezpieczeństwo danych będących w jego posiadaniu, ale także będzie postępował zgodnie z przepisami ustawy o ochronie danych osobowych. Warto w tym miejscu wspomnieć, że podmiotom, które w przetwarzaniu danych osobowych mają jakieś nieprawidłowości grożą wysokie kary finansowe. Zlecenie audytu jest na pewno mniej dotkliwe finansowo niż kary nakładane przez GIODO.

Ochrona danych osobowych jest obowiązkiem ustawowym spoczywającym na wielu podmiotach. Na przetwarzanie danych osobowych składa się szereg bardzo różnych procesów, które powinny być zgodne z zapisami ustawy o ochronie danych osobowych oraz ze zmianami do niej wprowadzonymi. Audyt ochrony danych osobowych pozwala wykryć wszelkie, nawet najmniejsze nieprawidłowości w procesach gromadzenia, przetwarzania czy udostępniania danych osobowych. Tym samym pozwala uniknąć kar finansowych, które mogą być nałożone przez GIODO. Należy pamiętać o tym, że urząd ten ma prawo do przeprowadzania kontroli w każdym z podmiotów zobowiązanych do przestrzegania zapisów ustawy o ochronie danych osobowych. Na pewno więc warto przeprowadzić audyt ochrony danych osobowych samodzielnie lub przy pomocy firmy z zewnątrz.

Andrzej Gawron (Audytor)

Podziel się

Napisz do nas

Powrót do góry