„Oczywiście, że odpowiednio chronię dane osobowe moich klientów i pracowników!” Czy aby na pewno? Jak już wiemy, lista wymogów stawianych administratorom danych osobowych jest dość długa. Prawidłowo opracowana i wdrożona dokumentacja, zabezpieczenie przetwarzanych danych osobowych, zapewnienie legalności powierzenia przetwarzania… Punktem wyjścia do stwierdzenia, że w tej sferze działalności nasza organizacja spełnia stawiane przez prawo wymogi winien być audyt bezpieczeństwa danych osobowych.

Czy warto?

Warto, jeśli chcemy uniknąć nieprzyjemności w związku z potencjalną kontrolą Generalnego Inspektora Ochrony Danych Osobowych lub współdziałającej z GIODO Państwowej Inspekcji Pracy. Warto, jeśli chcemy uniknąć odpowiedzialności karnej grożącej za niezgodne z prawem przetwarzanie i zabezpieczenie danych osobowych. Warto też wówczas, gdy dostrzegamy, że ochrona danych osobowych to już nie tylko obowiązek narzucony ustawą, ale szansa na pozycjonowanie naszych usług, jako bezpiecznych dla klienta, co ma kolosalne znaczenie np. w przypadku branży e-commerce.

Kiedy?

Jeśli dotychczas ochrona danych osobowych, czy szerzej, ochrona informacji w naszej organizacji była traktowana po macoszemu lub co gorsza, w ogóle nie podejmowano kroków w kierunku wypracowania odpowiednich standardów w tej sferze, audyt zerowy jest pierwszym krokiem jaki powinniśmy wykonać. Przeprowadzenie audytu bezpieczeństwa danych osobowych pozwoli odpowiedzieć na pytanie w jakim stanie znajduje się organizacja i jakie kolejne kroki powinny być podjęte, by spełnić wymogi stawiane przez ustawodawcę administratorom danych.

Dodatkowo, audyty bezpieczeństwa danych osobowych coraz częściej przeprowadzane są również w tych organizacjach, które już wypracowały i wdrożyły odpowiednie rozwiązania z tego zakresu. Wówczas audyt służyć ma weryfikacji, czy pierwotne założenia przyjęte przez administratora danych osobowych były słuszne, a w tym przede wszystkim, czy wypracowane rozwiązania są stosowane w praktyce. Celem audytu sprawdzającego jest również wychwycenie obszarów, w których pomimo wdrożenia określonych rozwiązań, konieczna jest ich weryfikacja, w tym np. zmiana lub aktualizacja. Dotyczy to w szczególności wszelkich procedur i opisów zasad postępowania, które dopiero po dłuższym stosowaniu mogą być skutecznie poddane ocenie pod kątem ich efektywności.

Kto?

Choć przepisy nie regulują kwestii przeprowadzenia audytu bezpieczeństwa danych osobowych, a w tym nie stawiają żadnych wymogów w zakresie tego, kto tego rodzaju audyt może przeprowadzić, zaleca się by był on przeprowadzony przez osoby posiadające odpowiednią wiedzę i doświadczenie. Jednym z naczelnych celów audytu jest bowiem wykrycie potencjalnych stanów naruszenia przepisów z zakresu ochrony danych osobowych, co stanowić będzie krok do przywrócenia w tym zakresie stanu zgodności z prawem. Pamiętać bowiem należy, że w przypadku ujawnienia tego rodzaju naruszeń, na administratorze danych osobowych ciążyć będzie odpowiedzialność karna z tego tytułu. Tym samym, dobrze przygotowany audytor daje gwarancję, że w przypadku ewentualnej kontroli brak będzie podstaw do wszczęcia postępowania przeciwko administratorowi.

W organizacjach, w których doszło do powołania ABI, audyty okresowe przeprowadzać będzie w praktyce właśnie ta osoba. Obecnie bowiem, pod rządami znowelizowanej ustawy o ochronie danych osobowych, audyt może przybrać formę sprawdzeń, o których mowa w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora informacji.

Jak?

Audytorzy przystępując do badania winni uzyskać dostęp do wszelkiej dokumentacji i informacji, jakie związane są z przetwarzaniem danych osobowych w organizacji. Obejmuje to w szczególności dostęp do zbiorów danych osobowych, a także wszelkiej dokumentacji opisującej obowiązujące już w organizacji procedury postępowania z danymi osobowymi, informacjami poufnymi i dokumentami. Uzupełnieniem tych informacji będą również informacje uzyskane w toku bezpośrednich wywiadów z członkami organizacji, w tym pracownikami. Takie podejście pozwoli bowiem audytorom na skonfrontowanie stanu wyobrażonego w poszczególnych procedurach ze stanem rzeczywistym.

Celem audytu nigdy nie powinno być wywrócenie organizacji do góry nogami. Jeżeli bowiem funkcjonują już w niej jakiekolwiek procedury, które choć może nieprecyzyjne, bądź nieskodyfikowane, zapewniają zgodne z prawem przetwarzanie i zabezpieczenie danych osobowych, procedury winny te zostać zachowane, przy ewentualnym skorygowaniu ich treści.

Podsumowanie

Audyt bezpieczeństwa powinien być pierwszym krokiem w stronę zabezpieczenia przetwarzanych danych osobowych, a także zabezpieczenia interesów samego administratora danych. Dzięki wnioskom płynącym z audytu administrator będzie bowiem w stanie podjąć działania, które w przyszłości mogą uchronić go od potencjalnie grożącej mu odpowiedzialności karnej. Jeśli więc ktoś zapyta, czy warto, odpowiem – warto!