Audyt bezpieczeństwa w jednostkach publicznych według RODO – kto go przeprowadza

Piotr Glen

Autor: Piotr Glen

Dodano: 19 marca 2018
Audyt bezpieczeństwa w jednostkach publicznych według RODO – kto go przeprowadza
Pytanie:  Czy coroczny audyt bezpieczeństwa informacji wymagany w jednostkach publicznych przez rozporządzenie w sprawie Krajowych Ram Interoperacyjności można połączyć z audytem wymaganym przez ogólne rozporządzenie o ochronie danych (RODO)? Czy taki audyt może wykonać pracownik posiadający certyfikat audytora wewnętrznego ISO 27001?
Odpowiedź: 

Jeżeli jednostka publiczna zgodnie z wymogami realizuje m.in. rozporządzenie w sprawie Krajowych Ram Interoperacyjności, a dodatkowo zgodnie z wymogami RODO wyznaczy inspektora ochrony danych, to wywiąże się z warunków stawianych przez RODO, zwłaszcza w zakresie poddawania stosowanych środków bezpieczeństwa regularnym przeglądom i ich uaktualniania w razie potrzeby.

RODO, jako ogólne rozporządzenie i zbiór generalnych zasad wymaga, a raczej oczekuje, że dla zabezpieczenia przetwarzanych w organizacji określonych danych osobowych zostaną zastosowane odpowiednie środki bezpieczeństwa zarówno organizacyjne, jak i techniczne i że w razie potrzeby będą one poddawane przeglądom i uaktualniane. W stosownym przypadku należy zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania danych (art. 24 i 32 RODO). Sposób przeprowadzania takich wewnętrznych kontroli zależy od decyzji administratora.

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (rozporządzenie KRI) dotyczy przede wszystkim podmiotów realizujących zadania publiczne. Paragraf 20 tego rozporządzenia szczegółowo określa obowiązki związane z wdrożeniem szeroko rozumianego systemu zarządzania bezpieczeństwem informacji. Pojawia się tam wymóg zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Nie musi być to audyt w rozumieniu norm ISO. Jednak może go przeprowadzić certyfikowany audytor posiadający certyfikat audytora wewnętrznego ISO 27001, ale nie jest to obligatoryjne.

Kto przeprowadza audyt bezpieczeństwa

Wewnętrzną kontrolę stanu bezpieczeństwa danych osobowych i przestrzegania zasad i przepisów z zakresu ochrony danych osobowych powinien regularnie, w przyjęty przez siebie sposób, przeprowadzać inspektor ochrony danych. Można, a nawet należy, w tym zakresie nadal korzystać z doświadczeń administratora bezpieczeństwa informacji, który był zobowiązany przedstawiać administratorowi danych regularne plany sprawdzeń, dokonywać sprawdzeń, przedstawiać z nich sprawozdania.

Wprawdzie rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, jako akt wykonawczy do znowelizowanej w 2015 roku ustawy o ochronie danych osobowych, przestanie obowiązywać wraz z całą ustawą od momentu stosowania RODO, ale praktyka planów kontroli, sposobów przeprowadzania sprawdzeń i sporządzania sprawozdań może być przydatna do zapewnienia i udokumentowania wewnętrznego audytu bezpieczeństwa informacji, ze szczególnym uwzględnieniem danych osobowych.

Podstawa prawna: 
Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel