2009.11_Audyt i kontrola danych osobowych.pdf

BEZPIECZNA FIRMA

ANDRZEJ GUZIK

Audyt a kontrola

danych

osobowych

Stopień trudności

Kontrola danych osobowych najczęściej kojarzy się z kontrolą

wykonywaną przez inspektorów GIODO. Jest to tylko jedna

z wielu możliwych rodzajów kontroli. Zwykle dotyczy ona

zgodności przetwarzania danych osobowych z przepisami

o ochronie danych osobowych

znajdziemy pojęcia audytu. W

literaturze przedmiotu możemy

znaleźć różne określenia. Jedni definiują

audyt, jako ocenę danej osoby, organizacji,

systemu, procesu lub produktu w oparciu o

przeprowadzone testy. Według drugich, audyt

to ocena przez kompetentny i niezależny

zespół audytujący, czy dany przedmiot audytu

spełnia wymagania. Jeszcze inni określają

audyt jako niezależną, obiektywną doradczą

działalność, której celem jest dodanie wartości

i ulepszanie operacji danej organizacji poprzez

wprowadzenie systematycznego podejścia do

oceny i podwyższania skuteczności procesów

zarządzania ryzykiem, procesów kontroli i

nadzoru. Krótko mówiąc audyt to sprawdzenie

zgodności.

Natomiast kontrola, to zgodnie ze

słownikiem języka polskiego, porównywanie

stanu faktycznego ze stanem wymaganym

lub ze stanem założonym (wzorcem).

Według innych, kontrola to ustalenie stanu

obowiązującego (wyznaczeń), ustalenie

stanu rzeczywistego (wykonań), porównanie

wykonań z wyznaczeniami w celu stwierdzenia

ich zgodności lub niezgodności, wyjaśnianie

przyczyn stwierdzonych różnic między

wykonaniami i wyznaczeniami.

Skoro znamy już pojęcie audytu i kontroli

oraz różnice pomiędzy nimi, to możemy przejść

do audytu i kontroli danych osobowych.

Ochrona danych osobowych

Dane osobowe w rozumieniu ustawy o

ochronie danych osobowych są to wszelkie

informacje dotyczące zidentyfikowanej lub

możliwej do zidentyfikowania osoby fizycznej.

Natomiast pod pojęciem bezpieczeństwa

danych osobowych należy rozumieć ochronę

poufności, rozliczalności i integralności danych

osobowych bez względu na sposób ich

przetwarzania, tradycyjny (manualny), czy też

w systemie informatycznym. Bezpieczeństwo

danych osobowych należy zapewnić przed

rozpoczęciem oraz w trakcie przetwarzania

danych osobowych. Obowiązek ochrony danych

osobowych spoczywa na administratorze

danych. Administratorem danych w rozumieniu

ustawy jest organ, jednostka organizacyjna,

podmiot lub osoba, decydująca o celach i

środkach przetwarzania danych osobowych.

Zgodnie z art. 36 ust. 1 ustawy, administrator

danych jest obowiązany zastosować środki

techniczne i organizacyjne zapewniające

ochronę danych osobowych odpowiednią

do zagrożeń oraz kategorii danych objętych

ochroną. Przepisy ustawy enumeratywnie

wskazują zagrożenia związane z przetwarzaniem

danych osobowych. Dane osobowe należy

zabezpieczyć przed ich udostępnieniem

osobom nieupoważnionym, zabraniem

przez osobę uprawnioną, przetwarzaniem

z naruszeniem ustawy oraz zmianą, utratą,

uszkodzeniem lub zniszczeniem. W celu

Z ARTYKUŁU

DOWIESZ SIĘ

co to jest audyt i kontrola,

poznasz rodzaje audytu

i kontroli oraz standardy,

wytyczne oraz metodyki audytu

i kontroli danych osobowych.

CO POWINIENEŚ

WIEDZIEĆ

znać podstawowe zasady

ochrony danych osobowych.

HAKIN9 11/2009

W słowniku języka polskiego nie

AUDYT A KONTROLA DANYCH OSOBOWYCH

nadzorowania przestrzegania zasad

ochrony danych osobowych w

organizacji wyznacza się administratora

bezpieczeństwa informacji (ABI). ABI

odpowiada między innymi za: nadzór nad

zakresem dostępu osób upoważnionych

do przetwarzania danych osobowych,

nadzór nad sposobem przetwarzania

danych osobowych w systemach

informatycznych, za kontrolę zgodności

systemu informatycznego z wymaganiami

określonymi w przepisach prawa oraz

za reakcję na incydenty naruszenia

bezpieczeństwa danych osobowych.

technicznych i organizacyjnych, jakim

powinny odpowiadać urządzenia i

systemy informatyczne służące do

przetwarzania danych osobowych

oraz listy predefiniowanych środków

technicznych i organizacyjnych (pkt 16

wniosku rejestracyjnego systemu e-

GIODO), pozwala samemu opracować

listę kontrolną (ang. checklist ) audytu

zgodności. Zalecenia wynikające z

poszczególnych punktów audytowych

należy zakwalifikować do jednej z klas:

spełnione, nie spełnione, spełnione

częściowo lub nie dotyczy. Przykładowo

dla standardu ISO 17799 lista kontrolna

obejmuje 127 punktów, a dla COBIT 302

punkty.

Przykład listy kontrolnej dla audytu

zgodności z przepisami ustawy o ochronie

danych osobowych zawiera Tabela 3.

Przepisy prawa nakładają na

administratora danych szereg obowiązków.

Administrator danych jest zobowiązany

m. in. zastosować odpowiednie środki

techniczne i organizacyjne, adekwatne

do zagrożeń i kategorii przetwarzanych

Tabela 1. Różnica pomiędzy audytem a kontrolą

Audyt danych osobowych

W praktyce najczęściej możemy spotkać

się z audytami zgodności przetwarzania

danych osobowych z przepisami

ustawy o ochronie danych osobowych.

Oprócz ww. audytu firmy komercyjne

oferują usługi audytu informatycznego,

audytu bezpieczeństwa (zabezpieczeń)

systemów informatycznych, audytu

bezpieczeństwa danych osobowych,

czy audytu systemu zarządzania

bezpieczeństwem danych osobowych.

Każdorazowo, przed skorzystaniem z takiej

usługi, należy sprawdzić zakres audytu,

stosowaną metodykę oraz kwalifikacje

audytorów i referencje firmy w obszarze

bezpieczeństwa danych osobowych.

Problematyka audytu w

omawianym zakresie nie doczekała

się dotąd regulacji prawnej. Audyty

zgodności przeprowadzane są na

ogół przez firmy audytorskie. Audyt taki

składa się z następujących etapów:

analizy dokumentacji, inwentaryzacji

zbiorów danych osobowych i

systemów informatycznych, w których

przetwarza się dane osobowe,

sprawdzenia wypełniania obowiązków

technicznych i organizacyjnych oraz

sprawdzenia wypełniania obowiązków

formalnoprawnych. Z kolei M. Molski i M.

Łacheta w książce Przewodnik audytora

systemów informatycznych podają inny

zakres audytu zgodności.

Uważne przestudiowanie Rozdziału

5 – Zabezpieczenie danych osobowych

ustawy o ochronie danych osobowych ,

rozporządzenia wykonawczego do ustawy

w sprawie dokumentacji przetwarzania

danych osobowych oraz warunków

Audyt

Kontrola

Kładzie nacisk na przyczyny

niekorzystnego zjawiska

Reaguje przede wszystkim na objawy

niekorzystnego zjawiska

Może działać zapobiegawczo, wskazując

potencjalne ryzyka

Działa wyłącznie post factum

W dużej mierze niezależny

Ograniczona zakresem upoważnienia

- zależy od woli dającego zlecenie

Nastawiony na usprawnienie działalności Nastawiona na wykrycie sprawcy

nieprawidłowości

Działa na podstawie standardów

zawodowych, a w sektorze publicznym

także przepisów prawa

Działa na podstawie uregulowań

wewnętrznych

Tabela 2. Zakres audytu zgodności

Lp . Zakres audytu zgodności

1 Inwentaryzacja zbiorów danych osobowych przetwarzanych w jednostce

organizacyjnej (danych klientów, pracowników, powierzonych przez inny podmiot)

2 Weryfikacja celu przetwarzania danych i weryfikacja podstaw prawnych

3 Analiza zasad gromadzenia i uaktualniania danych

4 Sprawdzenie przyjętej polityki bezpieczeństwa przetwarzania danych osobowych

5 Ocena procedur postępowania w sytuacji naruszenia ochrony danych

osobowych

6 Sprawdzenie prawidłowości zarządzania systemem informatycznym

przetwarzającym dane osobowe

7 Weryfikacja wypełnienia wymogów bezpieczeństwa dla systemów

informatycznych przetwarzających dane osobowe

8 Ocena zabezpieczeń obszaru przetwarzania danych osobowych

9 Sprawdzenie działań związanych z polityką szkoleń i dopuszczania osób do

danych osobowych

10 Weryfikacja wypełniania obowiązku informacyjnego (poprawności klauzul

informacyjnych oraz oświadczeń na formularzach do zbierania danych

osobowych)

11 Ocena procedur dotyczących udostępniania danych osobowych

12 Weryfikacja umów związanych z powierzeniem danych innym podmiotom

13 Ocena poprawności wypełniania wniosków do GIODO i ich aktualizacji

Źródło: M. Molski, M. Łacheta, Przewodnik audytora systemów informatycznych, Wydawnictwo Helion, 2007

11/2009

HAKIN9

BEZPIECZNA FIRMA

danych osobowych. Zastosowane środki

powinny wynikać z analizy zagrożeń

(ryzyk) związanych z przetwarzaniem

danych osobowych oraz z przyjętego

poziomu bezpieczeństwa przetwarzania

danych osobowych w konkretnym

systemie informatycznym. Niezbędne

jest zapewnienie minimalnych środków

bezpieczeństwa dla przyjętego poziomu

bezpieczeństwa (podstawowego,

podwyższonego lub wysokiego) zgodnie

z wymogami określonymi w załączniku do

rozporządzenia wykonawczego do ustawy

o ochronie danych osobowych. Środki

ochrony powinny zapewniać rozliczalność

działań (osób i systemów) związanych z

przetwarzaniem danych osobowych.

W czasie audytu zgodności

sprawdzeniu podlegają zastosowane

przez administratora danych środki

techniczne. Wśród środków technicznych

służących do ochrony danych osobowych

można wymienić m. in. środki: sprzętowe,

programowe (oprogramowanie

systemowe, użytkowe, narzędziowe) oraz

telekomunikacyjne (oprogramowanie

urządzeń teletransmisji). Oprócz środków

technicznych do ochrony danych stosuje

się środki organizacyjne. Wśród środków

organizacyjnych należy wymienić przede

wszystkim: opracowanie i wdrożenie

dokumentacji przetwarzania danych

osobowych, wyznaczenie administratora

bezpieczeństwa informacji, wydanie

upoważnień do przetwarzania danych

osobowych, przydzielenie identyfikatorów,

zorganizowanie przeszkolenia dla osób

zatrudnionych przy przetwarzaniu danych

osobowych, itp.

W celu samodzielnego przygotowania

się administratora danych do takiego

audytu lub ewentualnej kontroli danych

osobowych przez inspektorów GIODO

można skorzystać z opracowania

Stowarzyszenia ISACA (Stowarzyszenie

do spraw audytu i kontroli systemów

informatycznych) Wytycznej zarządzania i

nadzoru nad systemami informatycznymi

pod kątem zgodności z ustawą

o ochronie danych osobowych

– UODO Survival Kit 2.1 , dostępnej pod

adresem: https://www.isaca.org.pl/

index.php?m=show&id=247.

Wytyczne te przeznaczone są dla

wszystkich osób zainteresowanych

zapewnieniem zgodności działania

systemów informatycznych z ustawą.

Największym atutem opracowania

jest lista pytań kontrolnych. Polecam

korzystanie z Wytycznych w codziennej

pracy z danymi osobowymi.

Dodatkowo, pomocny może być

również brytyjski podręcznik audytu

ochrony danych (ang. Data Protection

Audit Manual ), w którym opisana została

metodologia prowadzenia audytu.

Podręcznik ten jest dostępny na stronie

internetowej: http://www.ico.gov.uk/upload/

documents/library/data_protection/

detailed_specialist_guides/ data_

protection_complete_audit_guide.pdf.

Integralną częścią podręcznika są listy

kontrolne, które mogą stanowić pomoc

przy przeprowadzaniu audytu.

Audyty zgodności wykazują szereg

nieprawidłowości związanych z procesem

przetwarzania danych osobowych. Jak

wynika z praktyki audytorskiej oraz z

ostatniego sprawozdania z działalności

GIODO (za 2007 rok) instytucje nie radzą

sobie z obowiązkiem zabezpieczenia

danych osobowych, wynikającym

z art. 36 – 39 ustawy (Rozdział 5

- Zabezpieczenie danych ), w tym z

obowiązkiem prowadzenia dokumentacji

opisującej sposób przetwarzania danych

osobowych oraz zastosowaniem środków

technicznych i organizacyjnych, które

mają zapewnić ochronę przetwarzanych

��

Rysunek 1. Różnica pomiędzy audytem a kontrolą

Nieprawidłowości w zakresie przetwarzania

danych osobowych wynikające z kontroli GIODO

• nieopracowanie i niewdrożenie polityki bezpieczeństwa danych osobowych

• niedopracowanie i niewdrożenie instrukcji zarządzania systemem informatycznym

służącym do przetwarzania danych osobowych

• dokument polityki bezpieczeństwa danych osobowych nie spełnia wymagań

wynikających z rozporządzenia

• dokument instrukcji zarządzania systemem informatycznym służącym do

przetwarzania danych osobowych nie spełnia wymagań wynikających z

rozporządzenia

• niewyznaczenie administratora bezpieczeństwa informacji

• nienadanie upoważnień osobom dopuszczonym do przetwarzania danych

osobowych

• nieprowadzenie ewidencji osób upoważnionych do przetwarzania danych

osobowych

• niezgłoszenie do rejestracji zbiorów danych osobowych

• rozwiązania organizacyjne i techniczne nie zapewniają ochrony przetwarzanych

danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych

ochroną

• systemy informatyczne służące do przetwarzania danych osobowych nie spełniają

wymogów o charakterze technicznym

• niezapewnienie mechanizmów kontroli dostępu do danych osobowych

• niedopełnienie wobec osób, których dane dotyczą obowiązku informacyjnego

wynikającego z art. 24 ust. 1 ustawy o ochronie danych osobowych

• niewykonywanie kopii zapasowych zbiorów danych oraz programów służących do

przetwarzania danych osobowych

• zbieranie danych osobowych pracowników w szerszym zakresie, niż to wynika

70 HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

danych osobowych. Dokumentacja

bezpieczeństwa danych osobowych (na

którą składa się Polityka bezpieczeństwa

danych osobowych oraz Instrukcja

zarządzania systemem informatycznym

służącym do przetwarzania danych

osobowych ) opisuje sposób i zasady

przetwarzania danych osobowych u

administratora danych.

Rozporządzenie Ministra Spraw

Wewnętrznych i Administracji z dnia 29

kwietnia 2004 r. w sprawie dokumentacji

przetwarzania danych osobowych oraz

warunków technicznych i organizacyjnych,

jakim powinny odpowiadać urządzenia

i systemy informatyczne służące do

przetwarzania danych osobowych (Dz. U. z

2004 r. Nr 100, poz. 1024) konkretyzuje ten

obowiązek.

Paragraf 4 rozporządzenia

enumeratywnie wylicza, co powinien

zawierać dokument polityki

bezpieczeństwa. Na dokument ten

składają się wykazy i tabele opisujące:

obszar przetwarzania danych osobowych,

zbiory danych osobowych, strukturę

zbiorów danych osobowych, sposób

przepływu danych pomiędzy systemami

informatycznymi oraz środki organizacyjne

i techniczne zapewniające ochronę

przetwarzanych danych osobowych.

Natomiast paragraf 5 rozporządzenia

określa zawartość Instrukcji zarządzania

systemem informatycznym służącym do

przetwarzania danych osobowych . Na

dokument ten składają się procedury

zarządzania systemem informatycznym, w

tym procedury związane z zapewnieniem

bezpieczeństwem danych osobowych.

Dokumentacja przetwarzania danych

osobowych może być pomocna przy

opracowaniu listy kontrolnej do audytu

zgodności.

Od dokumentacji przetwarzania

danych osobowych najczęściej

rozpoczyna się kontrola u administratora

danych.

W praktyce obserwuje się dwie

tendencje albo dokumentacja

opracowana przez administratora danych

jest zbyt lakoniczna, nie zawiera wszystkich

wymaganych informacji, albo jest zbyt

szczegółowa (zawiera za dużo szczegółów

technicznych). Częstym błędem jest

publikacja ww. dokumentacji na stronie

WWW administratora danych w zakładce

BIP (Biuletyn Informacji Publicznej). W

tym miejscu warto zauważyć, że sposób

zabezpieczenia danych osobowych

stanowi tajemnicę administratora danych

i wymaga zachowania poufności. Dostęp

do szczegółów, zgodnie z zasadą

wiedzy koniecznej powinien mieć wąski

krąg osób, tylko osoby uprawnione i

upoważnione.

Z audytu zgodności sporządzane

jest sprawozdanie. Integralną częścią

sprawozdania jest lista niezgodności,

w tym niezgodności krytycznych (o ile

takowe występują). Wartością dodaną

audytu zgodności są rekomendacje, które

zawierają działania korekcyjne (działania

przywracające stan zgodny z prawem)

i działania korygujące (działania, które

mają usunąć przyczyny stwierdzonych

nieprawidłowości).

Kontrola danych osobowych

Problematyka kontroli przetwarzania i

ochrony danych osobowych uregulowana

została w ustawie o ochronie danych

osobowych w sposób ogólny. Ustawa

zawiera stosunkowo niewiele przepisów

z tego zakresu. Kontrola ta może być

realizowana przez różne podmioty.

Najczęściej jednak mamy do czynienia

z kontrolą instytucjonalną, sprawowaną

Podstawowe pojęcia związane z ochroną danych

osobowych

• dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej,

• administrator danych – organ, jednostka organizacyjna, podmiot lub osoba,

decydująca o celach i środkach przetwarzania danych osobowych,

• administrator bezpieczeństwa informacji – osoba nadzorująca przestrzeganie zasad

ochrony danych osobowych,

• zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym,

dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest

rozproszony lub podzielony funkcjonalnie,

• przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych,

takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,

udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach

informatycznych,

• system informatyczny – zespół współpracujących ze sobą urządzeń, programów,

procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu

przetwarzania danych,

• zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja

stosownych środków technicznych i organizacyjnych zapewniających ochronę danych

przed ich nieuprawnionym przetwarzaniem,

• hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie

uprawnionej do pracy w systemie informatycznym,

• identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie

identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie

informatycznym,

• uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości

podmiotu,

• poufność danych – właściwość zapewniająca, że dane nie są udostępniane

nieupoważnionym podmiotom,

• rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane

w sposób jednoznaczny tylko temu podmiotowi,

• integralność danych – właściwość zapewniająca, że dane osobowe nie zostały

zmienione lub zniszczone w sposób nieautoryzowany,

• usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie

pozwala na ustalenie tożsamości osoby, której dane dotyczą,

• raport – przygotowane przez system informatyczny zestawienia zakresu i treści

przetwarzanych danych,

• teletransmisja – przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,

• sieć publiczna – publiczna sieć telekomunikacyjna wykorzystywana głównie do

świadczenia publicznie dostępnych usług telekomunikacyjnych.

11/2009

HAKIN9

BEZPIECZNA FIRMA

Tabela 3. Lista kontrolna – audyt aplikacji przetwarzających dane osobowe

Lista kontrolna

Audyt aplikacji przetwarzających dane osobowe

Lp. PYTANIE

TAK NIE ND

1 Czy stanowiska przeznaczone do przetwarzania danych osobowych są oznaczone?

2 Czy ustawienie monitorów jest zgodne z ustawą o ODO?

3 Czy jest ustanowiony ABI?

4 Czy jest ustanowiony ASI?

5 Czy mają zdefiniowane zakresy obowiązków?

6 Czy administrator prowadzi ewidencję osób upoważnionych do dostępu do DO?

7 Czy wszystkie osoby mające dostęp do danych osobowych:

7.1 zostały zapoznane z przepisami o ochronie danych osobowych?

7.2 zostały przeszkolone w zakresie zabezpieczeń systemu informatycznego?

7.3 uzyskały wpis do swojej karty zadań, określający indywidualny zakres odpowiedzialności danej osoby za

ochronę danych osobowych?

7.4 złożyły oświadczenie według wzoru?

8 Czy oświadczenie, o którym mowa w pkt 7.4 zostało dołączone do akt osobowych pracownika?

9 Czy w celu przetwarzania danych osobowych wdrożono odpowiedni poziom zabezpieczeń?

10 Czy zostały podjęte odpowiednie kroki lub zastosowano odpowiednie środki administracyjne ograniczające

możliwość wystąpienia zagrożeń ze strony Internetu (zwłaszcza poczty elektronicznej) w systemach

przetwarzających dane osobowe?

11 Czy w ramach nadzoru nad dostępem użytkowników do systemu informatycznego stosuje się procedurę

przydziału uprawnień?

12 Czy uprawnienia dostępu do systemu informatycznego udzielone są wyłącznie osobom zatrudnionym przy

przetwarzaniu danych osobowych?

13 Czy osoby niezatrudnione a wykonujące doraźne prace mają dostęp do danych osobowych?

14 Czy osoby mające dostęp do danych osobowych zobowiązane są do zachowania danych w tajemnicy,

także po ustaniu zatrudnienia?

15 Czy przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą?

16 Czy administrator danych nie zmienia celu przetwarzania danych?

17 Czy dane przechowywane są w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż

jest to niezbędne do osiągnięcia celu przetwarzania?

18 Czy miało miejsce udostępnienie danych osobom nieupoważnionym?

18.1 umyślne

18.2 nieumyślne

19 Czy w przypadku danych osobowych przechowywanych w postaci zapisu elektronicznego stwierdzono:

19.1 kradzież danych?

19.2 uszkodzenie danych?

19.3 zniszczenie danych?

20 Czy system informatyczny dla każdej osoby, której dane są w nim przetwarzane odnotowuje:

20.1 datę wprowadzenia danych tej osoby

20.2 identyfikator wprowadzającego dane

20.3 informację: komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnianie

danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne

20.4 sprzeciw, o którym mowa w art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych, po jego

uwzględnieniu, oraz sprzeciwu określonego w ar. 32 ust. 1 pkt 8 tej ustawy

72 HAKIN9 11/2009

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: