Ochrona danych osobowych

Audyt systemu ochrony danych osobowych

System danych osobowych w przedsiębiorstwie powinien być zespołem skoordynowanych działań wykorzystujących procesowe podejście do zarządzania bezpieczeństwem danych osobowych w celu zapewnienia ich właściwego zabezpieczenia.

Obejmuje on między innymi wewnętrzne procedury, systemy, zasoby oraz wykorzystywaną przez dany podmiot  infrastrukturę techniczną i teleinformatyczną. Jednym z podstawowych elementów sprawnie funkcjonującego systemu powinno być stałe kontrolowanie jego działania  i korygowanie powstających problemów i niezgodności.

Cel audytu
Celem naszej usługi jest zidentyfikowanie obszarów wymagających korekty oraz wyznaczenie właściwych kierunków zmian w funkcjonowaniu przedsiębiorstwa w celu osiągnięcia wysokich standardów bezpieczeństwa oraz zapewnienie prawidłowego funkcjonowania systemu ochrony danych osobowych.

Metodologia
Metodologię naszych prac będzie stanowić analiza zgodności przetwarzania danych osobowych w przedsiębiorstwie z przepisami prawa, dobrymi praktykami stosowanymi w podobnie funkcjonujących podmiotach oraz określenie stopnia optymalizacji przyjętych rozwiązań. Konsultanci prowadzący inwentryzację będą posługiwać się wytycznymi w tym zakresie określonymi przez Generalnego Inspektora Danych Osobowych. Po przeprowadzonym audycie przygotujemy raport rozbieżności wraz z zaleceniami dotyczącymi niezbędnych działań.

Czas realizacji
Prace audytowi przebiegają zwykle w trzech etapach:

  • Planowanie i przygotowanie projektu audytowego
  • Etap realizacji
  • Przygotowanie raportu końcowego

Czas realizacji uzależniony jest od dyspozycji poszczególnych osób reprezentujących poszczególne działy i obszary odpowiedzialności danego przedsiębiorstwa.

Przykładowe pytania audytowe w oparciu o podstawowe aspekty ochrony danych osobowych
Aby przybliżyć Państwu problematykę audytu poniżej przedstawiamy przykładowe pytania, na które nasi konsultanci będę starali się uzyskać odpowiedź.

Aspekty prawne:

  • Jakie dane osobowe w rozumieniu ustawy o ochronie danych osobowych są przetwarzane przez przedsiębiorstwo?
  • Czy są wśród nich dane o charakterze sensytywnym?
  • Jakie można wyróżnić zbiory danych?
  • Czy wyodrębnione zbiory podlegają rejestracji?
  • Jaka jest podstawa prawna przetwarzania danych?
  • Jaki jest zakres danych w poszczególnych zbiorach?
  • Czy wypełniono właściwie obowiązek informacyjny?
  • Czy nie naruszono zakazu rozstrzygania spraw dotyczących osób wyłącznie poprzez operacje na danych osobowych?
  • Czy przetwarzanie danych odbywa się zgodnie z cele i zakresem?
  • Czy spełnione są warunki przetwarzania danych wrażliwych?
  • Czy dane są udostępniane osobom trzecim?
  • Na jakiej podstawie dane są udostępniane?
  • Czy zbiory danych są powierzane innym podmiotom?
  • Czy zawarto właściwe umowy powierzenia przetwarzania danych?
  • Czy powierzenie danych jest zgodne z celem i zakresem ich przetwarzania?
  • (…)

Aspekty organizacyjne:

  • Kto w ramach przedsiębiorstwa i danego departamentu odpowiada za ochronę danych osobowych?
  • Czy osoby przetwarzające dane posiadają upoważnienia do przetwarzania danych osobowych w ramach poszczególnych zbiorów?
  • Czy są realizowane szczegółowe procedury przetwarzania danych osobowych?
  • Czy wdrożono procedury udostępniania danych oraz odmowy udostępniania?
  • Czy przeszkolono w w/w zakresie pracowników?
  • Czy udostępnianie jest rejestrowane?
  • Czy ustalono szczegółowe procedury związane z realizacją umów powierzenia?
  • W jaki sposób weryfikuje się powierzeniobiorców pod względem zapewnienia właściwej ochrony zbiorów powierzonych?
  • Czy wdrożono procedury bezpieczeństwa fizycznego danych?
  • Czy realizowane są procedury niszczenia i utylizacji dokumentów i nośników zawierających dane osobowe?
  • Czy jest prowadzona właściwie ewidencja osób upoważnionych?
  • Czy wprowadzono mechanizmy rozliczalności danych?
  • Czy pracownicy podpisali oświadczenia o zachowaniu poufności?
  • (…)

Aspekty techniczne:
W ramach obszaru zabezpieczeń fizycznych i informatycznych dokonamy między innymi analizy następujących aspektów:

  • Czy dane są przetwarzane w systemach informatycznych?
  • Jaki jest model przepływu danych między systemami?
  • Jak zabezpieczono poszczególne jednostki?
  • Czy komputery posiadają prawidłowo działające aktualne oprogramowanie antywirusowe?
  • Czy komputery posiadają odpowiednie zabezpieczenie przed zmianami napięcia?
  • Czy komputery są zabezpieczone aktualnym oprogramowaniem typu „firewall”?
  • Czy dostęp do poszczególnych systemów przetwarzających dane osobowe został właściwie ograniczony?
  • Czy zastosowano właściwe systemy uwierzytelniania?
  • Czy zabezpieczono dane przed nieupoważnionym kopiowaniem?
  • Czy poszczególne systemy monitorują dostęp i modyfikacje prowadzone przez użytkowników?
  • Czy właściwie zabezpieczono integralność danych?
  • Czy właściwie tworzy się i zabezpiecza kopie zapasowe?
  • Czy prowadzony jest rejestr tworzenia kopii zapasowych?
  • Czy zabezpieczono ciągłość pracy systemów informatycznych?
  • oraz inne obszary.

Szczegółowy harmonogram audytu wraz z niezbędnym do jego realizacji czasem jest zwykle opracowywany po uzgodnieniach z klientem.