Audyt danych osobowych. Bać się, czy nie?

Audyt danych osobowych. Bać się, czy nie? sxc.hu

Mimo że pojęcie ochrony danych osobowych funkcjonuje w polskiej rzeczywistości już od jakiegoś czasu, to jednak wciąż budzi wiele wątpliwości i obaw.

Z jednej strony pojawiają się deklaracje o spełnianiu wszelkich wymogów związanych z ochroną danych lub też pewność, że „nas ta kwestia nie dotyczy”, z drugiej – często okazuje się, że właściwie nie wiadomo, o co tak naprawdę chodzi. Brak świadomości w zakresie wymogów zabezpieczania danych osobowych powoduje, że przedsiębiorcy zwyczajnie boją się tej tematyki i jak mogą unikają związanych z nią działań, w tym również przeprowadzenia audytu. Czy rzeczywiście jest się czego obawiać? Jakie braki najczęściej wykazuje audyt? Jakie korzyści audyt może dać przedsiębiorcy?

Dokumentacja ochrony danych osobowych (ODO)

Pierwszym elementem sprawdzanym podczas audytu jest dokumentacja ochrony danych osobowych – jej istnienie i zawartość. Chodzi o to, by posiadać choćby podstawową dokumentację opisującą faktycznie stosowane zabezpieczenia lub procedury postępowania. Czasem wystarczy procedura obiegu dokumentów, instrukcja kancelaryjna, lub też obszerniejszy regulamin pracy.

Sytuacja jest nieco bardziej skomplikowana w przypadku systemów informatycznych. Często bowiem nie zwraca się uwagi na formalne zasady przyznawania uprawnień poszczególnym użytkownikom, a także na to, czy w przypadku posiadania wewnętrznej serwerowni tworzone są kopie zapasowe. Bywa jednak, że odpowiedzialny za te kwestie informatyk na swoje własne potrzeby sporządza różnego rodzaju ewidencje użytkowników, opisy lub schemat systemu informatycznego. Okazuje się, że brak właściwej dokumentacji ochrony danych osobowych jest jednym z najczęstszych braków w audytowanych podmiotach.

Wdrożenie dokumentacji ODO

Kolejną kwestią jest faktyczne wdrożenie procedur, opisanych w dokumentacji. Zdarza się, że audytowany podmiot, mimo że posiada dokumentację ochrony danych osobowych, to jednak w praktyce jej nie stosuje. Najczęstszą przyczyną jest po prostu nieznajomość zatwierdzonej dokumentacji – w wielu firmach bywa tak, że zna ją jedynie osoba, która ją sporządziła oraz ewentualnie zarząd, który ją podpisał.
Podczas audytów, bardzo często zdarzają się próby udowodnienia audytorom, że opisane w dokumentacji procedury faktycznie funkcjonują. Wystarczy jednak zaledwie kilka rozmów z pracownikami oraz wizja lokalna, aby przekonać się, jaka jest prawda.  

Warto podkreślić, że nawet jeśli przedsiębiorcy uda się oszukać audytorów, w praktyce niczemu to nie posłuży. Audyt ma bowiem na celu wskazanie przedsiębiorcy występujących braków oraz zasugerowanie odpowiednich zmian, tak aby dokumentacja ochrony danych osobowych spełniała zarówno wymogi prawa, jak też odzwierciedlała stan faktyczny.

Umowy powierzenia

Audyt często wykazuje również brak właściwych umów dotyczących powierzania danych osobowych podmiotom zewnętrznym, np. w przypadku outsourcingu. Najczęściej audytowany podmiot nie ma ani odrębnych umów powierzenia ani też żadnych dodatkowych zapisów w umowach o świadczenie usług.
Trzeba przyznać, że jest to temat dość drażliwy, szczególnie w przypadku wieloletnich współpracy – umowy outsourcingowe są najczęściej zawierane na czas nieokreślony. Wszelkie propozycje zmian w trakcie obowiązywania umowy z natury rzeczy budzą pewną nieufność drugiej strony. Jest ona tym większa, że podmioty zewnętrzne często nie posiadają żadnej dokumentacji i nie spełniają wymogów prawa w zakresie ochrony danych osobowych, a co za tym idzie, nie wiedzą czemu mogą służyć dodatkowe regulacje.

Szkolenia z ochrony danych osobowych

Podczas audytów bardzo często okazuje się, że najsłabszym ogniwem ochrony danych jest czynnik ludzki. Pracownicy nie wiedzą, jak chronić przetwarzane dane, jaka jest polityka firmy w tym zakresie, jak powinni postępować w sytuacjach o podwyższonym ryzyku. Naturalną konsekwencją są różnego typu incydenty – wyciek lub utrata danych, udostępnienie danych osobom niepowołanym, itp.
Najlepszą ochroną przed takimi zagrożeniami są odpowiednie szkolenia dla pracowników. Okazuje się jednak, że dla wielu przedsiębiorców jest to nie lada wyzwanie. W przypadku, gdy w danej firmie pracuje wiele osób uprawnionych do przetwarzania danych lub gdy mamy do czynienia z dużą rotacją pracowników, zaczyna się skrupulatne liczenie kosztów. Niestety, efektem takiego liczenia jest najczęściej decyzja o zaoszczędzeniu na szkoleniach i ograniczeniu się do zebrania od pracowników oświadczeń o zapoznaniu się z firmową dokumentacją ochrony danych osobowych i zobowiązaniu się do przestrzegania zawartych w niej zasad. Jest to o tyle nieskuteczne, że wiele osób podpisuje takie dokumenty bez ich czytania lub bez zrozumienia przeczytanej treści. Stąd może być już tylko krok do problemów…

Wnioski do GIODO

Duża część audytowanych podmiotów jest przekonana, że celem przygotowania dokumentacji ochrony danych osobowych jest skuteczne zarejestrowanie wniosków w GIODO, a jeżeli zbiór danych osobowych nie podlega rejestracji, nie trzeba go w dokumentacji opisywać, czyli de facto zabezpieczać. Jak pokazuje praktyka, do naruszenia przepisów dochodzi najczęściej w zakresie przetwarzania zbioru danych osobowych pracowników, który nie podlega rejestracji w GIODO, np.: naruszenie prawa do prywatności pracownika poprzez umieszczenie jego zdjęcia na stronie internetowej bez jego zgody czy nie usunięcie służbowego adresu mailowego zawierającego imię i nazwisko pracownika po zakończeniu stosunku pracy.

Zabezpieczenie danych

Audyty odkrywają również uchybienia w zakresie zabezpieczenia danych. Najczęstszymi z nich są niewłaściwe fizyczne zabezpieczenia zbiorów danych (np. archiwum w piwnicy z przeciekającą rurą kanalizacyjną czy serwer umieszczony przy zlewie w kuchni pracowniczej) oraz udostępnianie elektronicznego dostępu do danych osobom, które nie potrzebują tego do wykonywania swoich obowiązków służbowych (za duży zakres dostępu). Profesjonalni audytorzy są w stanie zidentyfikować wszelkie tego typu zagrożenia oraz przedstawić różne propozycje rozwiązań dla właściwej ochrony danych.

ODO 24 Sp. z o.o. Konrad Gałaj-Emiliańczyk

Dalej

x

3 komentarze

Nie udało się dodać komentarza, spróbuj ponownie za chwilę

Komentarz powinien być dłuższy niż 5 znaków

Prosze wprowadzić prawidłowy adres e-mail

Nick powinien być dłuższy niż 4 znaki

  • radek radek

    a ja polecam http://www.abipomoc.pl szybko i fachowo

    2014-08-23 07:47:29

    Oceniono 0 razy

    x

    Odpisz na ten komentarz

  • Lexvademecum.pl Lexvademecum.pl

    Polecam lexvademecum.pl

    2014-08-22 23:24:56

    Oceniono 0 razy

    x

    Odpisz na ten komentarz

  • Maciek Maciek

    Super artykuł, bardzo dobrze przedstawiony zakres ochron danych - sam wdrażałem dokumentacji rbdo.pl - jestem jak najbardziej zadowolony i zapoznałem się ze wszystkimi aspektami.

    2014-08-22 21:02:35

    Oceniono 1 razy

    1
    x

    Odpisz na ten komentarz