Jak przeprowadzić powtórny audyt ochrony danych osobowych

Data: 27-02-2015 r.

Administrator bezpieczeństwa informacji powinien kontrolować przestrzeganie zasad ochrony danych osobowych w organizacji. Pierwszy audyt pozwala zorientować się w stanie przestrzegania przepisów. Jednak dopiero podczas przeprowadzania powtórnych audytów ABI może sprawdzić, czy wszystkie zalecenia zostały wdrożone, a system ochrony danych działa poprawnie.

Przygotowując się do przeprowadzenia audytu, powinniśmy skoncentrować się na kilku podstawowych elementach. Podobnie jak w przypadku pierwszego audytu z ochrony danych osobowych powinniśmy ustalić jego termin z zarządem/dyrekcją podmiotu, który będzie objęty audytem.

Wybrany termin nie powinien kolidować z terminami innych audytów. Powinien też zostać zorganizowany w takim czasie, aby jak najmniej utrudniał działanie organizacji.

Przeprowadzając pierwszy audyt dobrym pomysłem jest przeprowadzenie wstępnego szkolenia z ochrony danych osobowych. Odmiennie wygląda sytuacja, kiedy pełnimy funkcję administratora bezpieczeństwa informacji od pewnego czasu i przeprowadzamy kolejny już audyt.

Wynika to z tego, że po kilku szkoleniach pracownicy mają już (lub chociaż powinni mieć) świadomość o zasadach ochrony danych osobowych i wiedzą, kto pełni funkcję ABI.

Protokołowanie spotkań audytowych trochę przedłuża czas trwania audytu, jednakże ma bardzo istotną zaletę. Posiadanie protokołów zabezpieczy nas jako audytorów przed twierdzeniami, że ktoś czegoś nie powiedział, co zazwyczaj następuje po przygotowaniu raportu zawierającego odkryte uchybienia.

Przygotowując plan powtórnego audytu, stosujemy takie same zasady jak w odniesieniu do pierwszego audytu. Wybieramy pracowników z najdłuższym stażem z danego działu i ustalamy z nimi harmonogram. Gotowy harmonogram przedkładamy przed zarząd/dyrekcję w celu jego zatwierdzenia.

Wybieramy działy, o których wiemy lub co najmniej podejrzewamy, że przetwarzają dane osobowe.

Warto również rozważyć uwzględnienie w planie audytu działów, w których zgodnie z naszą wiedzą obecnie nie zachodzą procesy przetwarzania danych.

Przeprowadzając powtórny audyt, koniecznie powinniśmy uwzględnić raport z poprzedniego audytu. Będziemy już bowiem posiadali wiedzę o stopniu zaawansowania realizacji zaleceń wskazanych w poprzednim raporcie ze stanu ochrony danych osobowych. Z uwagi na cele standaryzacyjne powinniśmy jednak zweryfikować ich wdrożenie również w bieżącym audycie.

Ostatecznym etapem audytu jest przygotowanie raportu zawierającego odkryte uchybienia. Poprzez uchybienia należy rozumieć niezgodności z ustawą o ochronie danych osobowych, które mogą prowadzić do odpowiedzialności karnej (najczęściej administratora danych osobowych).

Łukasz Onysyk, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 36637 )
Array ( [docId] => 36637 )

Array ( [docId] => 36637 )