Jak przeprowadzić powtórny audyt ochrony danych osobowych

Data: 27-02-2015 r.

Administrator bezpieczeństwa informacji powinien kontrolować przestrzeganie zasad ochrony danych osobowych w organizacji. Pierwszy audyt pozwala zorientować się w stanie przestrzegania przepisów. Jednak dopiero podczas przeprowadzania powtórnych audytów ABI może sprawdzić, czy wszystkie zalecenia zostały wdrożone, a system ochrony danych działa poprawnie.

Przygotowując się do przeprowadzenia audytu, powinniśmy skoncentrować się na kilku podstawowych elementach. Podobnie jak w przypadku pierwszego audytu z ochrony danych osobowych powinniśmy ustalić jego termin z zarządem/dyrekcją podmiotu, który będzie objęty audytem.

Wybrany termin nie powinien kolidować z terminami innych audytów. Powinien też zostać zorganizowany w takim czasie, aby jak najmniej utrudniał działanie organizacji.

Przeprowadzając pierwszy audyt dobrym pomysłem jest przeprowadzenie wstępnego szkolenia z ochrony danych osobowych. Odmiennie wygląda sytuacja, kiedy pełnimy funkcję administratora bezpieczeństwa informacji od pewnego czasu i przeprowadzamy kolejny już audyt.

Oczywiście szkolenia dla pracowników powinniśmy dalej prowadzić, jednak powinny one być organizowane w innych terminach niż audyty.

Wynika to z tego, że po kilku szkoleniach pracownicy mają już (lub chociaż powinni mieć) świadomość o zasadach ochrony danych osobowych i wiedzą, kto pełni funkcję ABI.

Protokołowanie spotkań audytowych trochę przedłuża czas trwania audytu, jednakże ma bardzo istotną zaletę. Posiadanie protokołów zabezpieczy nas jako audytorów przed twierdzeniami, że ktoś czegoś nie powiedział, co zazwyczaj następuje po przygotowaniu raportu zawierającego odkryte uchybienia.

Unikniemy w ten sposób późniejszych, najczęściej nieprzyjemnych rozmów i tłumaczeń, kiedy audytowani mogą „wypierać” się pewnych uchybień odkrytych w ich komórkach. Warto pamiętać, aby protokół został podpisany przez osobę, która bierze udział w spotkaniu i odpowiada na nasze pytania.

Przygotowując plan powtórnego audytu, stosujemy takie same zasady jak w odniesieniu do pierwszego audytu. Wybieramy pracowników z najdłuższym stażem z danego działu i ustalamy z nimi harmonogram. Gotowy harmonogram przedkładamy przed zarząd/dyrekcję w celu jego zatwierdzenia.

Wybieramy działy, o których wiemy lub co najmniej podejrzewamy, że przetwarzają dane osobowe.

Przygotowanie takiego planu nie powinno być trudne, gdyż przeprowadzając powtórny audyt, powinniśmy już dosyć dobrze orientować się w strukturze organizacji i być w stanie określić, ile czasu poświęcić na spotkanie z konkretnym działem lub komórką organizacyjną (inaczej niż w przypadku pierwszego audytu z ochrony danych osobowych).

Warto również rozważyć uwzględnienie w planie audytu działów, w których zgodnie z naszą wiedzą obecnie nie zachodzą procesy przetwarzania danych.

Przeprowadzając powtórny audyt, koniecznie powinniśmy uwzględnić raport z poprzedniego audytu. Będziemy już bowiem posiadali wiedzę o stopniu zaawansowania realizacji zaleceń wskazanych w poprzednim raporcie ze stanu ochrony danych osobowych. Z uwagi na cele standaryzacyjne powinniśmy jednak zweryfikować ich wdrożenie również w bieżącym audycie.

Ostatecznym etapem audytu jest przygotowanie raportu zawierającego odkryte uchybienia. Poprzez uchybienia należy rozumieć niezgodności z ustawą o ochronie danych osobowych, które mogą prowadzić do odpowiedzialności karnej (najczęściej administratora danych osobowych).

Łukasz Onysyk, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
Array ( [docId] => 36637 )
Array ( [docId] => 36637 )

Array ( [docId] => 36637 )