Czy odpowiednio chronię dane osobowe moich klientów i pracowników?
W większości przypadków na tak zadane pytanie pada odpowiedź - oczywiście! Problem pojawia się, gdy próbujemy wskazać, jakie konkretnie działania podejmujemy w tym celu. Czy wiem, jakie procedury i zabezpieczenia powinienem wdrożyć i jaką wiedzę powinni posiadać moi pracownicy?
Często okazuje się, że nie do końca znamy obowiązujące normy w zakresie zabezpieczania danych, a że lista wymogów stawianych administratorom danych osobowych jest dość długa… powoduje to nasze zniechęcenie i unikanie tego tematu. Tymczasem punktem wyjścia powinien być właśnie audyt bezpieczeństwa – to pierwszy krok w stronę spełnienia wymagań prawa oraz zabezpieczenia interesów firmy. Dzięki wnioskom płynącym z audytu otrzymujemy informację o popełnianych błędach
i wskazówki jak ich uniknąć. Wdrażając zalecenia audytorów zyskujemy świadomość poprawnego przetwarzania danych osobowych i brak obaw o wyniki ewentualnej kontroli GIODO.
Zdaję sobie sprawę, że u większości z nas słowo audyt nie budzi pozytywnych emocji; kojarzy się z kontrolą, koniecznością reorganizacji pracy firmy, podporządkowaniem swojego planu dnia pod działania audytorów itp.
A jak jest w rzeczywistości?
Nie każdy audytor to kontroler. Moim celem jako szefa grupy audytorów jest doradztwo
i wsparcie działalności firmy, w której badamy poziom bezpieczeństwa danych.
Dzięki swojemu doświadczeniu oraz spojrzeniu z zewnątrz pomagamy dostrzec miejsca problematyczne, które bardzo łatwo przeoczyć w ferworze codziennych zadań.
Jak wygląda to w praktyce?
Audyt składa się z kilku etapów, a punktem odniesienia dla sprawdzenia przyjętych
w firmie rozwiązań są zarówno normy prawne (zawarte w ustawach i rozporządzeniach), jak i normy techniczne (w odniesieniu do systemów informatycznych).
Kolejność i przebieg poszczególnych etapów zawsze są omawiane na pierwszym spotkaniu. Wtedy ustala się harmonogram prac tak, aby nie zakłócić normalnego funkcjonowania firmy.
Na samym początku badane są potrzeby, możliwości oraz punkty krytyczne związane
z dotychczas funkcjonującym systemem bezpieczeństwa.
W kolejnych etapach następuje inwentaryzacja zbiorów danych osobowych, analiza zasad przetwarzania danych oraz weryfikacja obowiązków względem GIODO. Wszystkie te czynności przeprowadza się na podstawie obserwacji, wywiadów z pracownikami oraz analizy dokumentacji.
Następnym krokiem jest weryfikacja wypełnienia wymogów bezpieczeństwa dla systemów informatycznych przetwarzających dane osobowe i ocena zabezpieczeń obszaru przetwarzania danych osobowych.
Przedostatnia część to sprawdzenie kompletności dokumentacji pod kątem przepisów oraz działań związanych z polityką szkoleń i dopuszczenia osób do danych osobowych.
Audyt zakończony jest raportem, w którym opisany zostaje stan faktyczny oraz stopień ryzyka ze wskazaniem poziomu zgodności z wymogami prawa. W raporcie zaproponowane są konkretne rozwiązania podnoszące poziom ochrony danych osobowych w firmie np. treści klauzul zgody na przetwarzanie danych, obowiązków informacyjnych itd.
Czy warto?
Ochrona danych osobowych to już nie tylko obowiązek narzucony ustawą, ale także możliwość promowania usług przedsiębiorstwa jako bezpiecznych dla klienta.
W czasach coraz to nowych zagrożeń bezpieczeństwa informacyjnego związanych
z wyciekami danych jest to bardzo ważne dla wizerunku firmy. Dobrze przeprowadzony audyt i wdrożenie zabezpieczeń daje gwarancje, że temat ochrony danych osobowych będzie naszym atutem i poprawi naszą konkurencyjność. Odpowiedź zatem jest jedna – warto!
Dodaj komentarz