Bezpieczeństwo przetwarzanych informacji stanowi nie tylko bezwzględny obowiązek administratorów danych osobowych, ale i absolutną konieczność z uwagi na fakt, iż w szerokim rozumieniu informacje te obejmują nie tylko dane osobowe, ale i tajemnicę przedsiębiorstwa, w tym dane klientów. Wszelkie obowiązki wynikające z gromadzenia oraz przetwarzania danych osobowych zgodnie z art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej jako: „uODO”) spoczywają na administratorze danych, którym będzie spółka, urząd czy też jednoosobowy przedsiębiorca spełniający warunki z art. 7 pkt 4 uODO. Jeśli administrator danych zdecyduje się powołać Administratora Bezpieczeństwa Informacji (dalej jako: „ABI”), obowiązki te będą realizowane przez ten właśnie podmiot.
Administrator danych osobowych jest w pełni odpowiedzialny za ochronę danych. Może on się posiłkować podmiotem bardziej profesjonalnym w tym zakresie tj. Administratorem Bezpieczeństwa Informacji, jednakże często okazuje się to niewystraczające, zwłaszcza gdy ABI jest jednym z pracowników administratora danych. W takich sytuacjach warto rozważyć zlecenie przeprowadzenia audytu bezpieczeństwa informacji niezależnemu, profesjonalnemu podmiotowi zewnętrznemu, dzięki czemu administrator zyska gwarancję jakości i niezależności. Dokładnemu badaniu audytowemu zostanie poddana każda z jednostek administratora danych. Zadaniem audytorów będzie analiza dokumentów, w tym m.in. procedur wydawania upoważnień do przetwarzania danych czy procedur zgłaszania incydentów naruszenia przepisów o ochronie danych osobowych. Dokładnemu badaniu poddawane są również systemy informatyczne przetwarzające dane osobowe.
Z praktyki wynika, iż audyt warto rozpocząć od poddania ocenie stadium zaawansowania administratora danych z perspektywy przestrzegania przepisów o ochronie danych osobowych, które sprowadza się w najprostszych słowach do analizy środków organizacyjno-technicznych realizujących cele ochrony danych osobowych, którymi dysponuje administrator. Najczęściej stosowaną techniką pozyskania informacji na tym etapie audytu będzie prowadzenie rozmów z personelem administratora danych osobowych, który przetwarza w toku wykonywania swoich zadań dane osobowe. Poza źródłem rozmów z pracownikami bazę na tym stadium audytu będą stanowiły dokumenty przekazane przez administratora danych. Poza doborem najbardziej odpowiednich technik audytor powinien pamiętać o tym, że każdy administrator danych podlegający badaniu powinien zostać przeanalizowany ze szczególnym uwzględnieniem kryterium rodzaju prowadzonej działalności (czy to będzie działalność gospodarcza czy też inna) oraz zakresu przetwarzanych w jej toku danych osobowych.
Główny ciężar spoczywa na audytorze, jednakże nie mógłby on realizować w pełni swoich zadań, gdyby nie podmiot będący administratorem danych, którego rola w badaniu audytowym jest równie istotna z perspektywy udostępniania wszelkich źródeł informacji. Taka współpraca pozwoli zapewnić kompleksowość oraz wnikliwość audytu.
Kolejnym etapem audytu jest przygotowanie raportu poaudytowego. Raport powinien zawierać wszelkie uchybienia oraz zalecenia sformułowane przez audytorów po zakończeniu badania. Równie istotną kwestią jest sposób, w jaki wnioski poaudytowe zostaną przekazane administratorowi danych, gdyż po przekazaniu raportu to jego będzie obciążało wdrożenie działań naprawczych względem uchybień oraz ewentualne zastosowanie się do zaleceń. Warto zadbać również o to, by jedną z części raportu stanowiło wskazanie metod i narzędzi usuwania uchybień i wdrażania zaleceń W efekcie w raporcie warto zamieścić propozycję klauzul zgody na przetwarzanie danych osobowych, którymi administrator się posługuje, zapisy odnoszące się do ochrony danych osobowych wprowadzane do umów, zapisy regulaminów regulujących tematykę bezpieczeństwa informacji czy też kwestie powiązane z powierzaniem przetwarzania danych osobowych.
Elementem dodatkowym, o który warto wzbogacić raport, może stać się sporządzenie przez audytora listy ryzyk prawnych, czyli obszarów, które powinny podlegać szczególnemu nadzorowi w zakresie przestrzegania zasad ochrony danych osobowych.
Jednym z ostatnich etapów badania w zakresie audytu bezpieczeństwa informacji warto uczynić syntetyczne przedstawienie uchybień, ryzyk, zaleceń i wniosków raportu podmiotowi będącemu administratorem danych. Czynność ta będzie pomocna przy podejmowaniu decyzji w ramach wdrożenia raportu. Zalecane byłoby również przeprowadzenie spotkania będącego jednocześnie szkoleniem dla pracowników lub współpracowników, którzy następnie będą zaangażowani w usuwanie uchybień wskazanych w ramach audytu i realizację proponowanych w raporcie zadań.
Paweł Leśny
Katarzyna Barszczewska