BHPEX Logo
Kontakt 68 411 40 00

Audyty zbiorów danych

Audyt ochrony danych osobowych

Celem audytu jest zbadanie zgodności działania Waszej firmy lub instytucji z aktualnie obowiązującymi przepisami w zakresie ochrony danych osobowych, tj. Ustawą o ochronie danych osobowych, rozporządzeniami wykonawczymi do ustawy oraz innymi przepisami, które regulują prawo do prywatności.

UWAGA:

Podmioty przetwarzające dane osobowe mają obowiązek wprowadzić odpowiednie procedury, dokumentację opisującą przetwarzanie danych, jak również odpowiednio zabezpieczyć systemy informatyczne, służące do przetwarzania danych.

Audyt ochrony danych osobowych

Specjalizuję się w prowadzeniu kompleksowego audytu ochrony danych osobowych. Sprawdzam nie tylko dokumentację, jak to robi większość prawników. Ochrona danych osobowych to przede wszystkim narzędzia (komputery, serwery, sieci komputerowe), które również podlegają audytowi. Jestem informatykiem z kilkunastoletnim doświadczeniem w pracy dla instytucji państwowych i dzięki mojej pracy wdrożyłem systemy bezpieczeństwa dla wielu przedsiębiorców. Moje audyty to sprawdzenie zgodności z wymaganiami Ustawy o ochronie danych osobowych oraz normy PN 27001. W ramach audytu, weryfikacji poddawane są:

  1. Dokumentacja ochrony danych osobowych
    • Opracowanie instrukcji systemu ochrony danych osobowych (Polityka bezpieczeństwa ochrony danych osobowych, Instrukcja zarządzania systemem informatycznym).
    • Identyfikacja zbiorów danych.
    • Sprawdzenie legalności przekazywania danych za granicę, w tym umowy powierzenia danych oraz upoważnienia do przetwarzania danych osobowych.
    • Sprawdzenie poziomu wiedzy pracowników.
    • Analiza dokumentacji kadrowej.
    • Analiza dokumentacji i procedur bezpieczeństwa (procedury postępowania na wypadek nieprzewidzianych zdarzeń).
    • Sprawdzenie dopuszczalności przetwarzania danych.
  2. Systemy i sieci komputerowe
    • Sprawdzenie zabezpieczeń systemów komputerowych (hasła, systemy logowania, oprogramowanie antywirusowe, kontrola dostępności, itp.).
    • Kontrola dostępu do danych osobowych (poziomy zabezpieczeń i uprawnień logicznych).
    • Kontrola emisji elektromagnetycznej urządzeń (monitory, drukarki, itp).
    • Weryfikacja zabezpieczeń systemów informatycznych (badanie odporności na włamania i nieautoryzowany dostęp).
    • Analiza zabezpieczeń infrastruktury IT (routery, switche, przełączniki, VPN).
    • Analiza zabezpieczeń fizycznych (kontrola dostępu do pomieszczeń, szafy aktowe, itp.).
    • Sprawdzenie systemów bezpieczeństwa (awaryjne zasilanie, backup, itp.).

Procedura audytu ochrony danych osobowuch

Audyt zgodności prowadzimy w dwóch etapach:

  • Audyt ochrony danych osobowych (dokumentacja i procedury).
  • Audyt bezpieczeństwa teleinformatycznego (urządzenia, systemy, sieć komputerowa).

Reasumując, w ramach audytu ochrony danych osobowych:

  1. Poddam analizie posiadaną dokumentację ochrony danych osobowych pod kątem jej zgodności z prawem oraz aktualności.
  2. Zbadam przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych.
  3. Zweryfikuję zakres i cel przetwarzania danych.
  4. Zweryfikuję merytoryczną poprawność danych i ich adekwatność w stosunku do celu przetwarzania.
  5. Zweryfikuję system techniczno-organizacyjny ochrony danych osobowych.
  6. Poddam analizie zabezpieczenia infrastruktury informatycznej (poddamy analizie fizyczne i logiczne zabezpieczenia infrastruktury informatycznej).
  7. Poddam analizie politykę bezpieczeństwa backupu i zarządzania uprawnieniami oraz określę ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej.
  8. Zweryfikuję funkcjonalności aplikacji i poziom ich zabezpieczeń, a w przypadku wykrycia nieprawidłowości, zaproponuję optymalne rozwiązania.
  9. Sprawdzę poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej (np. szafy aktowe).
  10. Zweryfikuję poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych.
  11. Zweryfikuję zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych i doradzę, jak to robić w przyszłości.
  12. Sprawdzę posiadane witryny i sklepy internetowe pod względem przetwarzania danych osobowych.
  13. Dokonam weryfikacji pod względem zabezpieczeń informatycznych urządzeń brzegowych (routery, switche, drukarki, itp.).
  14. Dokonam sprawdzenia promieniowania elektromagnetycznego urządzeń peryferyjnych (monitory, drukarki) pod względem podglądu przez nieuprawnione podmioty.
menu
dział GIODO