Audyt bezpieczeństwa w jednostkach publicznych według RODO – kto go przeprowadza?

RODO, jako ogólne rozporządzenie i zbiór generalnych zasad wymaga, a raczej oczekuje, że dla zabezpieczenia przetwarzanych w organizacji określonych danych osobowych zostaną zastosowane odpowiednie środki bezpieczeństwa zarówno organizacyjne, jak i techniczne. Ponadto, że w razie potrzeby będą one poddawane przeglądom i uaktualniane. W stosownym przypadku należy zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania danych (art. 24 i 32 RODO). Sposób przeprowadzania takich wewnętrznych kontroli zależy od decyzji administratora.

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (rozporządzenie KRI) dotyczy przede wszystkim podmiotów realizujących zadania publiczne. Paragraf 20 tego rozporządzenia szczegółowo określa obowiązki związane z wdrożeniem szeroko rozumianego systemu zarządzania bezpieczeństwem informacji. Pojawia się tam wymóg zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Nie musi być to audyt w rozumieniu norm ISO. Jednak może go przeprowadzić certyfikowany audytor posiadający certyfikat audytora wewnętrznego ISO 27001, ale nie jest to obligatoryjne.

Wewnętrzną kontrolę stanu bezpieczeństwa danych osobowych i przestrzegania zasad i przepisów z zakresu ochrony danych osobowych powinien regularnie, w przyjęty przez siebie sposób, przeprowadzać inspektor ochrony danych. Można, a nawet należy, w tym zakresie nadal korzystać z doświadczeń administratora bezpieczeństwa informacji. Musi on przedstawiać administratorowi danych regularne plany sprawdzeń, dokonywać sprawdzeń, przedstawiać z nich sprawozdania.

Wprawdzie rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, jako akt wykonawczy do znowelizowanej w 2015 roku ustawy o ochronie danych osobowych, przestanie obowiązywać wraz z całą ustawą od momentu stosowania RODO, ale praktyka planów kontroli, sposobów przeprowadzania sprawdzeń i sporządzania sprawozdań może być przydatna do zapewnienia i udokumentowania wewnętrznego audytu bezpieczeństwa informacji, ze szczególnym uwzględnieniem danych osobowych.