Audyt danych osobowych – czy jest się czego obawiać?

Mimo że pojęcie ochrony danych osobowych funkcjonuje w polskiej rzeczywistości już od jakiegoś czasu, to jednak wciąż budzi wiele wątpliwości i obaw.

Z jednej strony pojawiają się deklaracje o spełnianiu wszelkich wymogów związanych z ochroną danych lub też pewność, że „nas ta kwestia nie dotyczy”, z drugiej – często okazuje się, że właściwie nie wiadomo, o co tak naprawdę chodzi. Brak świadomości w zakresie wymogów zabezpieczania danych osobowych powoduje, że przedsiębiorcy zwyczajnie boją się tej tematyki i jak mogą unikają związanych z nią działań, w tym również przeprowadzenia audytu. Czy rzeczywiście jest się czego obawiać? Jakie braki najczęściej wykazuje audyt? Jakie korzyści audyt może dać przedsiębiorcy? Wszystkie wątpliwości wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert ds. danych osobowych w ODO 24.


Dokumentacja ochrony danych osobowych (ODO)


Pierwszym elementem sprawdzanym podczas audytu jest dokumentacja ochrony danych osobowych – jej istnienie i zawartość. Chodzi o to, by posiadać choćby podstawową dokumentację opisującą faktycznie stosowane zabezpieczenia lub procedury postępowania. Czasem wystarczy procedura obiegu dokumentów, instrukcja kancelaryjna, lub też obszerniejszy regulamin pracy. Sytuacja jest nieco bardziej skomplikowana w przypadku systemów informatycznych. Często bowiem nie zwraca się uwagi na formalne zasady przyznawania uprawnień poszczególnym użytkownikom, a także na to, czy w przypadku posiadania wewnętrznej serwerowni tworzone są kopie zapasowe. Bywa jednak, że odpowiedzialny za te kwestie informatyk na swoje własne potrzeby sporządza różnego rodzaju ewidencje użytkowników, opisy lub schemat systemu informatycznego.

Okazuje się, że brak właściwej dokumentacji ochrony danych osobowych jest jednym z najczęstszych braków w audytowanych podmiotach.

Wdrożenie dokumentacji ODO


Kolejną kwestią jest faktyczne wdrożenie procedur, opisanych w dokumentacji. Zdarza się, że audytowany podmiot, mimo że posiada dokumentację ochrony danych osobowych, to jednak w praktyce jej nie stosuje. Najczęstszą przyczyną jest po prostu nieznajomość zatwierdzonej dokumentacji – w wielu firmach bywa tak, że zna ją jedynie osoba, która ją sporządziła oraz ewentualnie zarząd, który ją podpisał.

Podczas audytów, bardzo często zdarzają się próby udowodnienia audytorom, że opisane w dokumentacji procedury faktycznie funkcjonują. Wystarczy jednak zaledwie kilka rozmów z pracownikami oraz wizja lokalna, aby przekonać się, jaka jest prawda.

Warto podkreślić, że nawet jeśli przedsiębiorcy uda się oszukać audytorów, w praktyce niczemu to nie posłuży. Audyt ma bowiem na celu wskazanie przedsiębiorcy występujących braków oraz zasugerowanie odpowiednich zmian, tak aby dokumentacja ochrony danych osobowych spełniała zarówno wymogi prawa, jak też odzwierciedlała stan faktyczny.

Umowy powierzenia


Audyt często wykazuje również brak właściwych umów dotyczących powierzania danych osobowych podmiotom zewnętrznym, np. w przypadku outsourcingu. Najczęściej audytowany podmiot nie ma ani odrębnych umów powierzenia ani też żadnych dodatkowych zapisów w umowach o świadczenie usług.

Trzeba przyznać, że jest to temat dość drażliwy, szczególnie w przypadku wieloletnich współpracy – umowy outsourcingowe są najczęściej zawierane na czas nieokreślony. Wszelkie propozycje zmian w trakcie obowiązywania umowy z natury rzeczy budzą pewną nieufność drugiej strony. Jest ona tym większa, że podmioty zewnętrzne często nie posiadają żadnej dokumentacji i nie spełniają wymogów prawa w zakresie ochrony danych osobowych, a co za tym idzie, nie wiedzą czemu mogą służyć dodatkowe regulacje.

Szkolenia z ochrony danych osobowych


Podczas audytów bardzo często okazuje się, że najsłabszym ogniwem ochrony danych jest czynnik ludzki. Pracownicy nie wiedzą, jak chronić przetwarzane dane, jaka jest polityka firmy w tym zakresie, jak powinni postępować w sytuacjach o podwyższonym ryzyku. Naturalną konsekwencją są różnego typu incydenty – wyciek lub utrata danych, udostępnienie danych osobom niepowołanym, itp.

Najlepszą ochroną przed takimi zagrożeniami są odpowiednie szkolenia dla pracowników. Okazuje się jednak, że dla wielu przedsiębiorców jest to nie lada wyzwanie. W przypadku, gdy w danej firmie pracuje wiele osób uprawnionych do przetwarzania danych lub gdy mamy do czynienia z dużą rotacją pracowników, zaczyna się skrupulatne liczenie kosztów. Niestety, efektem takiego liczenia jest najczęściej decyzja o zaoszczędzeniu na szkoleniach i ograniczeniu się do zebrania od pracowników oświadczeń o zapoznaniu się z firmową dokumentacją ochrony danych osobowych i zobowiązaniu się do przestrzegania zawartych w niej zasad. Jest to o tyle nieskuteczne, że wiele osób podpisuje takie dokumenty bez ich czytania lub bez zrozumienia przeczytanej treści. Stąd może być już tylko krok do problemów.

Wnioski do GIODO


Duża część audytowanych podmiotów jest przekonana, że celem przygotowania dokumentacji ochrony danych osobowych jest skuteczne zarejestrowanie wniosków w GIODO, a jeżeli zbiór danych osobowych nie podlega rejestracji, nie trzeba go w dokumentacji opisywać, czyli de factozabezpieczać. Jak pokazuje praktyka, do naruszenia przepisów dochodzi najczęściej w zakresie przetwarzania zbioru danych osobowych pracowników, który nie podlega rejestracji w GIODO, np.: naruszenie prawa do prywatności pracownika poprzez umieszczenie jego zdjęcia na stronie internetowej bez jego zgody czy nie usunięcie służbowego adresu mailowego zawierającego imię i nazwisko pracownika po zakończeniu stosunku pracy.

Zabezpieczenie danych


Audyty odkrywają również uchybienia w zakresie zabezpieczenia danych. Najczęstszymi z nich są niewłaściwe fizyczne zabezpieczenia zbiorów danych (np. archiwum w piwnicy z przeciekającą rurą kanalizacyjną czy serwer umieszczony przy zlewie w kuchni pracowniczej) oraz udostępnianie elektronicznego dostępu do danych osobom, które nie potrzebują tego do wykonywania swoich obowiązków służbowych (za duży zakres dostępu).

Profesjonalni audytorzy są w stanie zidentyfikować wszelkie tego typu zagrożenia oraz przedstawić różne propozycje rozwiązań dla właściwej ochrony danych.

***

Wdrożenie w przedsiębiorstwie systemu ochrony danych osobowych jest procesem wymagającym zaangażowania wszystkich osób, uprawnionych do przetwarzania danych. Wymaga to zarówno czasu jak i odpowiedniego przygotowania. Audyt ochrony danych osobowych jest jednym z głównych narzędzi tego procesu. Warto go przeprowadzić, aby właściwie zidentyfikować wszystkie obszary przetwarzania danych, możliwe zagrożenia i właściwie ocenić ryzyko podejmowanych działań. W każdym z przedstawionych powyżej elementów audytorzy są po prostu partnerami i doradcami przedsiębiorcy. Wskazują, co warto poprawić, by w zakresie przetwarzania danych firma funkcjonowała sprawniej i bezpieczniej.

Poaudytowy raport zawiera m.in. ogólną ocenę audytowanego podmiotu, analizę zabezpieczeń fizycznych i informatycznych, ocenę nadawania i odbierania uprawnień, ocenę świadomości pracowników, a także wytyczne dotyczące sugerowanych zmian, jakie należy lub warto wprowadzić w firmie. Na jego podstawie, audytowany podmiot może samodzielnie wybrać najodpowiedniejszy dla siebie sposób ochrony przetwarzanych danych. Zamiast obaw i nieufności, warto więc spojrzeć na audyt z optymizmem i po prostu możliwie jak najdokładniej zastosować się do jego wytycznych.

Konrad Gałaj-Emiliańczyk

Ekspert ds. danych osobowych

ODO 24