Przepisy dotyczące ochrony danych osobowych zobowiązują firmy i freelancerów, którzy przetwarzają dane osobowe, niezależnie od ich rodzaju (zautomatyzowanych lub niezautomatyzowanych), do przeprowadzenia audytu co dwa lata lub w trybie nadzwyczajnym, za każdym razem gdy przeprowadzane są zmiany w systemie informatycznym, w celu zapewnienia zgodności ze środkami bezpieczeństwa w odniesieniu do ochrony danych osobowych w toku rozwoju działalności firmy.

Na czym polega audyt?

Audyt to narzędzie kontroli i nadzoru, które pozwala na poznanie błędów w obsłudze danych osobowych, poprzez dochodzenie, rewizję, konsultacje, weryfikację i uzyskanie dowodów w celu spełnienia i gwarancji dobrego wykorzystania danych osobowych.

Sprawozdanie z audytu musi zawierać opinię na temat adekwatności środków i kontroli, określać braki i proponować niezbędne środki naprawcze lub uzupełniające. Zawiera również dane, fakty i obserwacje, na których opierają się sformułowane opinie i proponowane zalecenia.

Praca audytora musi być wykonywana z zachowaniem bezstronności, niezależnie od czynników wewnętrznych lub zewnętrznych, tak aby opinia o firmie była maksymalnie obiektywna.

Sprawozdania z audytu są analizowane przez właściwy urząd, który następnie przedstawia wnioski administratorowi danych lub podmiotowi przetwarzającemu dane, aby ten przyjął odpowiednie środki naprawcze.

Do administratora danych osobowych należy decyzja, w jaki sposób chce przeprowadzać audyty, pamiętając, że muszą przebiegać one w sposób obiektywny i bezstronny, w oparciu o obiektywne dowody, tj. w celu wydania raportu końcowego ważne jest uwzględnienie zgromadzonych informacji i zaobserwowanych faktów.

Przebieg audytu

Audyt powinien być przeprowadzony w drodze procesu obejmującego zastosowanie odpowiedniej metodologii. Jednostka przeprowadzająca audyt danych osobowych musi opracować własne procedury i protokoły działania, aby uzyskać dane niezbędne do przygotowania sprawozdania końcowego. Procedury realizowane przez audytora mają na celu określenie stopnia dokładności, jaki istnieje między faktami, które są faktycznie generowane, a sprawozdaniami, które zostały wygenerowane w odniesieniu do dokumentu bezpieczeństwa.

Innym bardzo ważnym aspektem w przebiegu audytu jest część dokumentacyjna, ponieważ stanowi ona najbardziej obiektywny dowód tego, co zostało powiedziane i pozwala na udowodnienie faktów. Audyt danych osobowych skupia się na dokumentach dostarczonych przez stronę audytowaną i opartych na dokumencie bezpieczeństwa oraz zapisach przechowywanych w różnego typu aktach.

Tak więc audyt ma na celu ustalenie:

  • zakresu przetwarzania danych osobowych (np. zatrudnianie pracowników, obsługa klientów, zawieranie określonych rodzajów umów itp.);
  • specyfiki czynności przetwarzania danych;
  • rodzaju danych osobowych, jakimi dysponuje administrator,
  • wdrożonych metod ochrony danych osobowych,
  • uchybień i potencjalnych zagrożeń związanych z przetwarzaniem danych,
  • zaleceń wdrożeniowych w celu zapewnienia przetwarzanym danym należytej ochrony.

Audyt danych osobowych

Rodzaje audytów

Rozróżniamy dwa rodzaje audytów: zewnętrzne lub wewnętrzne.

Audyt zewnętrzny jest przeprowadzany przez profesjonalistę w tej dziedzinie nie związanego stosunkiem pracy z firmą podlegającą audytowi, przy użyciu określonych technik i procedur mających na celu sprawdzenie metod stosowanych przez firmę w celu zapewnienia zgodności z przepisami prawa dotyczącymi środków bezpieczeństwa, zapewnienia legalności pozyskiwania danych, legalności ich wykorzystania oraz właściwego obchodzenia się z nimi. Firma zawiera z audytorem umowę o świadczenie usług. Przedsiębiorstwo może więc w tym wypadku wybrać dowolną jednostkę wykwalifikowaną i doświadczoną w przeprowadzaniu audytów.

Audyt wewnętrzny jest przeprowadzany przez profesjonalistę związanego stosunkiem pracy z przedsiębiorstwem posiadającego fachową wiedzę na ten temat, będącego jednocześnie prawnikiem lub informatykiem, który wykorzysta pewne techniki mające na celu przegląd metod kontroli lub zastosowanych zabezpieczeń, w celu wydania raportu końcowego, aby ocenić stopień zgodności firmy w odniesieniu do zobowiązań podjętych w zakresie przetwarzania danych osobowych znajdujących się w jego posiadaniu.