Audyt ochrony danych osobowych – zło konieczne czy szansa na optymalizację?

Marketing Internetowy 20 października 2015 0
Audyt ochrony danych osobowych – zło konieczne czy szansa na optymalizację?


Współczesne tendencje w pełni potwierdzają powiedzenie, iż mamy do czynienia ze „społeczeństwem informacyjnym”, w którym informacja – szczególne dobro niematerialne – staje się towarem i wartością. Dane osobowe, które przetwarzają przedsiębiorstwa, są podstawą sukcesu, źródłem zysku, ale i mogą stać się przyczyną kłopotów, jeśli nie będą odpowiednio zarządzane i chronione. Wzmocnieniu ochrony służy właśnie audyt ochrony danych osobowych, który bywa utożsamiany z kontrolą Państwowej Inspekcji Pracy czy Urzędu Skarbowego. W tym miejscu zostaną przedstawione argumenty, które potwierdzą że takie przekonanie nie ma wiele wspólnego z rzeczywistością.

Na administratorze danych spoczywają obowiązki ochrony przetwarzanych przez niego danych osobowych. Przede wszystkim jego rolą jest zastosowanie środków technicznych i organizacyjnych, które zapewnią ochronę danych, spełniając równocześnie kryterium odpowiedniości do zagrożeń oraz kategorii przetwarzanych danych. Te środki wraz ze sposobami przetwarzania danych w przedsiębiorstwie powinny być ujęte w prowadzonej przez administratora danych dokumentacji.

Audytu, czyli sprawdzenia z zakresu ochrony danych osobowych w przedsiębiorstwie może dokonać powołany decyzją administratora danych administrator bezpieczeństwa informacji („ABI”) lub też podmiot, któremu zlecono takie zadanie jednorazowo. Jeśli administrator danych zdecydował się powołać ABI, jego naczelnym zadaniem jest sprawdzanie zgodności przetwarzania danych osobowych w przedsiębiorstwie z wszelkimi normami regulującymi ochronę danych osobowych. ABI w następstwie takiego sprawdzenia sporządza sprawozdanie (raport).

Powyższe zadanie jest swego rodzaju klauzulą generalną odnoszącą się do audytu ochrony danych osobowych. Audyt ten zakłada bowiem wnikliwą analizę codziennego funkcjonowania tych działów przedsiębiorstwa, które mają styczność z danymi osobowymi (mówiąc językiem ustawy – przetwarzają dane osobowe). W sprawozdaniu/ raporcie ABI wskazuje na obszary funkcjonowania przedsiębiorstwa, w których należy dokonać niezwłocznych zmian, jak i może przedstawić „wnioski racjonalizatorskie”, których wdrożenie nie jest prawnie wymagane i zależy całkowicie od woli administratora, a które mogą okazać się krokiem milowym w usprawnieniu pracy danego działu, a nawet całego przedsiębiorstwa. Zadania wskazane w sprawozdaniu – co najmniej w zakresie faktycznych uchybień prawnych – podlegają następnie wykonaniu. Warto wspomnieć również o tym, iż sprawdzenia w toku współpracy mają charakter planowy i doraźny. ABI rozpoczynając pełnienie funkcji, ustala plan sprawdzeń do ich systematycznego realizowania. Z bieżących potrzeb może jednak wynikać konieczność sprawdzeń doraźnych.

Innym rodzajem sprawdzenia jest audyt, którego ABI dokonuje na wezwanie Generalnego Inspektora Ochrony Danych Osobowych („GIODO”). W takim przypadku GIODO określa zakres sprawdzenia i termin przedstawienia jego wyników w formie sprawozdania, co dokonuje się już za pośrednictwem administratora.

Kolejnym obowiązkiem spoczywającym na ABI w zakresie audytu jest sprawowanie nadzoru nad opracowywaniem i aktualizowaniem dokumentacji, którą przygotowuje administrator danych. Taka dokumentacja to nic innego jak polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. ABI nadzoruje również przestrzeganie przyjętych w tej dokumentacji zasad ochrony danych osobowych w przedsiębiorstwie, czyli nadzór w tym wypadku obejmuje również kwestię stanu faktycznego przestrzegania tych zasad. Badanie zgodności regulacji wewnętrznych ze stanem faktycznym obejmuje również środki techniczne i organizacyjne.

Często ABI w ramach pełnienia swojej funkcji sporządzają taką dokumentację dla administratorów, co stanowi najlepszą gwarancję jej poprawności. Profesjonalni ABI mają świadomość, jakie środki w pełni będą optymalizowały przetwarzanie danych przez przedsiębiorstwo, a także jakie środki – konieczne do wdrożenia z różnych względów – będą w jak najmniejszym stopniu utrudniały płynne funkcjonowanie i przepływ danych.

Pełny profesjonalizm w dziedzinie audytu ochrony danych osobowych to nie tylko doskonała i kompleksowa znajomość przepisów regulujących tę dziedzinę, ale również obeznanie i umiejętność wyboru wśród wielu techniczno – informatycznych środków ochrony przetwarzanych w przedsiębiorstwie danych. Świadomość tego jest mocną stroną zespołu JPL Group Sp. z o.o.

Justyna Matuszak-Leśny, LL.M.
Radca Prawny
Katarzyna Barszczewska
JPL Group Sp. z o. o.

0.00 avg. rating (0% score) – 0 votes

Skomentuj »