68

BEZPIECZNA FIRMA

HAKIN9 11/2009

W

słowniku języka polskiego nie
znajdziemy pojęcia audytu. W
literaturze przedmiotu możemy

znaleźć różne określenia. Jedni definiują
audyt, jako ocenę danej osoby, organizacji,
systemu, procesu lub produktu w oparciu o
przeprowadzone testy. Według drugich, audyt
to ocena przez kompetentny i niezależny
zespół audytujący, czy dany przedmiot audytu
spełnia wymagania. Jeszcze inni określają
audyt jako niezależną, obiektywną doradczą
działalność, której celem jest dodanie wartości
i ulepszanie operacji danej organizacji poprzez
wprowadzenie systematycznego podejścia do
oceny i podwyższania skuteczności procesów
zarządzania ryzykiem, procesów kontroli i
nadzoru. Krótko mówiąc audyt to sprawdzenie
zgodności.

Natomiast kontrola, to zgodnie ze

słownikiem języka polskiego, porównywanie
stanu faktycznego ze stanem wymaganym
lub ze stanem założonym (wzorcem).
Według innych, kontrola to ustalenie stanu
obowiązującego (wyznaczeń), ustalenie
stanu rzeczywistego (wykonań), porównanie
wykonań z wyznaczeniami w celu stwierdzenia
ich zgodności lub niezgodności, wyjaśnianie
przyczyn stwierdzonych różnic między
wykonaniami i wyznaczeniami.

Skoro znamy już pojęcie audytu i kontroli

oraz różnice pomiędzy nimi, to możemy przejść
do audytu i kontroli danych osobowych.

ANDRZEJ GUZIK

Z ARTYKUŁU

DOWIESZ SIĘ

co to jest audyt i kontrola,

poznasz rodzaje audytu

i kontroli oraz standardy,

wytyczne oraz metodyki audytu

i kontroli danych osobowych.

CO POWINIENEŚ

WIEDZIEĆ

znać podstawowe zasady

ochrony danych osobowych.

Ochrona danych osobowych

Dane osobowe w rozumieniu ustawy o
ochronie danych osobowych są to wszelkie
informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej.
Natomiast pod pojęciem bezpieczeństwa
danych osobowych należy rozumieć ochronę
poufności, rozliczalności i integralności danych
osobowych bez względu na sposób ich
przetwarzania, tradycyjny (manualny), czy też
w systemie informatycznym. Bezpieczeństwo
danych osobowych należy zapewnić przed
rozpoczęciem oraz w trakcie przetwarzania
danych osobowych. Obowiązek ochrony danych
osobowych spoczywa na administratorze
danych. Administratorem danych w rozumieniu
ustawy jest organ, jednostka organizacyjna,
podmiot lub osoba, decydująca o celach i
środkach przetwarzania danych osobowych.

Zgodnie z art. 36 ust. 1 ustawy, administrator

danych jest obowiązany zastosować środki
techniczne i organizacyjne zapewniające
ochronę danych osobowych odpowiednią
do zagrożeń oraz kategorii danych objętych
ochroną. Przepisy ustawy enumeratywnie
wskazują zagrożenia związane z przetwarzaniem
danych osobowych. Dane osobowe należy
zabezpieczyć przed ich udostępnieniem
osobom nieupoważnionym, zabraniem
przez osobę uprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem. W celu

Stopień trudności

Audyt a kontrola

danych

osobowych

Kontrola danych osobowych najczęściej kojarzy się z kontrolą

wykonywaną przez inspektorów GIODO. Jest to tylko jedna

z wielu możliwych rodzajów kontroli. Zwykle dotyczy ona

zgodności przetwarzania danych osobowych z przepisami

o ochronie danych osobowych

69

AUDYT A KONTROLA DANYCH OSOBOWYCH

HAKIN9

11/2009

nadzorowania przestrzegania zasad
ochrony danych osobowych w
organizacji wyznacza się administratora
bezpieczeństwa informacji (ABI). ABI
odpowiada między innymi za: nadzór nad
zakresem dostępu osób upoważnionych
do przetwarzania danych osobowych,
nadzór nad sposobem przetwarzania
danych osobowych w systemach
informatycznych, za kontrolę zgodności
systemu informatycznego z wymaganiami
określonymi w przepisach prawa oraz
za reakcję na incydenty naruszenia
bezpieczeństwa danych osobowych.

Audyt danych osobowych

W praktyce najczęściej możemy spotkać
się z audytami zgodności przetwarzania
danych osobowych z przepisami
ustawy o ochronie danych osobowych.
Oprócz ww. audytu firmy komercyjne
oferują usługi audytu informatycznego,
audytu bezpieczeństwa (zabezpieczeń)
systemów informatycznych, audytu
bezpieczeństwa danych osobowych,
czy audytu systemu zarządzania
bezpieczeństwem danych osobowych.
Każdorazowo, przed skorzystaniem z takiej
usługi, należy sprawdzić zakres audytu,
stosowaną metodykę oraz kwalifikacje
audytorów i referencje firmy w obszarze
bezpieczeństwa danych osobowych.

Problematyka audytu w

omawianym zakresie nie doczekała
się dotąd regulacji prawnej. Audyty
zgodności przeprowadzane są na
ogół przez firmy audytorskie. Audyt taki
składa się z następujących etapów:
analizy dokumentacji, inwentaryzacji
zbiorów danych osobowych i
systemów informatycznych, w których
przetwarza się dane osobowe,
sprawdzenia wypełniania obowiązków
technicznych i organizacyjnych oraz
sprawdzenia wypełniania obowiązków
formalnoprawnych. Z kolei M. Molski i M.
Łacheta w książce Przewodnik audytora
systemów informatycznych podają inny
zakres audytu zgodności.

Uważne przestudiowanie Rozdziału

5 – Zabezpieczenie danych osobowych
ustawy o ochronie danych osobowych,
rozporządzenia wykonawczego do ustawy
w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków

technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i
systemy informatyczne służące do
przetwarzania danych osobowych
oraz listy predefiniowanych środków
technicznych i organizacyjnych (pkt 16
wniosku rejestracyjnego systemu e-
GIODO), pozwala samemu opracować
listę kontrolną (ang. checklist) audytu
zgodności. Zalecenia wynikające z
poszczególnych punktów audytowych
należy zakwalifikować do jednej z klas:
spełnione, nie spełnione, spełnione

częściowo lub nie dotyczy. Przykładowo
dla standardu ISO 17799 lista kontrolna
obejmuje 127 punktów, a dla COBIT 302
punkty.

Przykład listy kontrolnej dla audytu

zgodności z przepisami ustawy o ochronie
danych osobowych zawiera Tabela 3.

Przepisy prawa nakładają na

administratora danych szereg obowiązków.
Administrator danych jest zobowiązany
m. in. zastosować odpowiednie środki
techniczne i organizacyjne, adekwatne
do zagrożeń i kategorii przetwarzanych

Tabela 1.

Różnica pomiędzy audytem a kontrolą

Audyt

Kontrola

Kładzie nacisk na przyczyny

niekorzystnego zjawiska

Reaguje przede wszystkim na objawy

niekorzystnego zjawiska

Może działać zapobiegawczo, wskazując

potencjalne ryzyka

Działa wyłącznie post factum

W dużej mierze niezależny

Ograniczona zakresem upoważnienia

- zależy od woli dającego zlecenie

Nastawiony na usprawnienie działalności Nastawiona na wykrycie sprawcy

nieprawidłowości

Działa na podstawie standardów

zawodowych, a w sektorze publicznym

także przepisów prawa

Działa na podstawie uregulowań

wewnętrznych

Tabela 2.

Zakres audytu zgodności

Lp. Zakres audytu zgodności

1

Inwentaryzacja zbiorów danych osobowych przetwarzanych w jednostce

organizacyjnej (danych klientów, pracowników, powierzonych przez inny podmiot)

2

Weryfikacja celu przetwarzania danych i weryfikacja podstaw prawnych

3

Analiza zasad gromadzenia i uaktualniania danych

4

Sprawdzenie przyjętej polityki bezpieczeństwa przetwarzania danych osobowych

5

Ocena procedur postępowania w sytuacji naruszenia ochrony danych

osobowych

6

Sprawdzenie prawidłowości zarządzania systemem informatycznym

przetwarzającym dane osobowe

7

Weryfikacja wypełnienia wymogów bezpieczeństwa dla systemów

informatycznych przetwarzających dane osobowe

8

Ocena zabezpieczeń obszaru przetwarzania danych osobowych

9

Sprawdzenie działań związanych z polityką szkoleń i dopuszczania osób do

danych osobowych

10 Weryfikacja wypełniania obowiązku informacyjnego (poprawności klauzul

informacyjnych oraz oświadczeń na formularzach do zbierania danych

osobowych)

11

Ocena procedur dotyczących udostępniania danych osobowych

12 Weryfikacja umów związanych z powierzeniem danych innym podmiotom
13 Ocena poprawności wypełniania wniosków do GIODO i ich aktualizacji

Źródło: M. Molski, M. Łacheta, Przewodnik audytora systemów informatycznych, Wydawnictwo Helion, 2007

BEZPIECZNA FIRMA

70

HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

71

HAKIN9

11/2009

danych osobowych. Zastosowane środki
powinny wynikać z analizy zagrożeń
(ryzyk) związanych z przetwarzaniem
danych osobowych oraz z przyjętego
poziomu bezpieczeństwa przetwarzania
danych osobowych w konkretnym
systemie informatycznym. Niezbędne
jest zapewnienie minimalnych środków
bezpieczeństwa dla przyjętego poziomu
bezpieczeństwa (podstawowego,
podwyższonego lub wysokiego) zgodnie
z wymogami określonymi w załączniku do
rozporządzenia wykonawczego do ustawy
o ochronie danych osobowych. Środki
ochrony powinny zapewniać rozliczalność
działań (osób i systemów) związanych z
przetwarzaniem danych osobowych.

W czasie audytu zgodności

sprawdzeniu podlegają zastosowane
przez administratora danych środki
techniczne. Wśród środków technicznych
służących do ochrony danych osobowych
można wymienić m. in. środki: sprzętowe,
programowe (oprogramowanie
systemowe, użytkowe, narzędziowe) oraz
telekomunikacyjne (oprogramowanie
urządzeń teletransmisji). Oprócz środków
technicznych do ochrony danych stosuje
się środki organizacyjne. Wśród środków
organizacyjnych należy wymienić przede
wszystkim: opracowanie i wdrożenie
dokumentacji przetwarzania danych
osobowych, wyznaczenie administratora
bezpieczeństwa informacji, wydanie

upoważnień do przetwarzania danych
osobowych, przydzielenie identyfikatorów,
zorganizowanie przeszkolenia dla osób
zatrudnionych przy przetwarzaniu danych
osobowych, itp.

W celu samodzielnego przygotowania

się administratora danych do takiego
audytu lub ewentualnej kontroli danych
osobowych przez inspektorów GIODO
można skorzystać z opracowania
Stowarzyszenia ISACA (Stowarzyszenie
do spraw audytu i kontroli systemów
informatycznych) Wytycznej zarządzania i
nadzoru nad systemami informatycznymi
pod kątem zgodności z ustawą
o ochronie danych osobowych
– UODO Survival Kit 2.1, dostępnej pod
adresem: https://www.isaca.org.pl/
index.php?m=show&id=247.

Wytyczne te przeznaczone są dla

wszystkich osób zainteresowanych
zapewnieniem zgodności działania
systemów informatycznych z ustawą.
Największym atutem opracowania
jest lista pytań kontrolnych. Polecam
korzystanie z Wytycznych w codziennej
pracy z danymi osobowymi.

Dodatkowo, pomocny może być

również brytyjski podręcznik audytu
ochrony danych (ang. Data Protection
Audit Manual), w którym opisana została
metodologia prowadzenia audytu.
Podręcznik ten jest dostępny na stronie
internetowej: http://www.ico.gov.uk/upload/
documents/library/data_protection/
detailed_specialist_guides/ data_
protection_complete_audit_guide.pdf.

Integralną częścią podręcznika są listy

kontrolne, które mogą stanowić pomoc
przy przeprowadzaniu audytu.

Audyty zgodności wykazują szereg

nieprawidłowości związanych z procesem
przetwarzania danych osobowych. Jak
wynika z praktyki audytorskiej oraz z
ostatniego sprawozdania z działalności
GIODO (za 2007 rok) instytucje nie radzą
sobie z obowiązkiem zabezpieczenia
danych osobowych, wynikającym
z art. 36 – 39 ustawy (Rozdział 5
- Zabezpieczenie danych), w tym z
obowiązkiem prowadzenia dokumentacji
opisującej sposób przetwarzania danych
osobowych oraz zastosowaniem środków
technicznych i organizacyjnych, które
mają zapewnić ochronę przetwarzanych

Nieprawidłowości w zakresie przetwarzania

danych osobowych wynikające z kontroli GIODO

•

nieopracowanie i niewdrożenie polityki bezpieczeństwa danych osobowych

• niedopracowanie i niewdrożenie instrukcji zarządzania systemem informatycznym

służącym do przetwarzania danych osobowych

• dokument polityki bezpieczeństwa danych osobowych nie spełnia wymagań

wynikających z rozporządzenia

• dokument instrukcji zarządzania systemem informatycznym służącym do

przetwarzania danych osobowych nie spełnia wymagań wynikających z
rozporządzenia

• niewyznaczenie administratora bezpieczeństwa informacji
• nienadanie upoważnień osobom dopuszczonym do przetwarzania danych

osobowych

• nieprowadzenie ewidencji osób upoważnionych do przetwarzania danych

osobowych

• niezgłoszenie do rejestracji zbiorów danych osobowych
• rozwiązania organizacyjne i techniczne nie zapewniają ochrony przetwarzanych

danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych
ochroną

• systemy informatyczne służące do przetwarzania danych osobowych nie spełniają

wymogów o charakterze technicznym

• niezapewnienie mechanizmów kontroli dostępu do danych osobowych
• niedopełnienie wobec osób, których dane dotyczą obowiązku informacyjnego

wynikającego z art. 24 ust. 1 ustawy o ochronie danych osobowych

• niewykonywanie kopii zapasowych zbiorów danych oraz programów służących do

przetwarzania danych osobowych

• zbieranie danych osobowych pracowników w szerszym zakresie, niż to wynika

Rysunek 1.

Różnica pomiędzy audytem a kontrolą

���������

�����������

�����

BEZPIECZNA FIRMA

70

HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

71

HAKIN9

11/2009

danych osobowych. Dokumentacja
bezpieczeństwa danych osobowych (na
którą składa się Polityka bezpieczeństwa
danych osobowych oraz Instrukcja
zarządzania systemem informatycznym
służącym do przetwarzania danych
osobowych) opisuje sposób i zasady
przetwarzania danych osobowych u
administratora danych.

Rozporządzenie Ministra Spraw

Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z
2004 r. Nr 100, poz. 1024) konkretyzuje ten
obowiązek.

Paragraf 4 rozporządzenia

enumeratywnie wylicza, co powinien
zawierać dokument polityki
bezpieczeństwa. Na dokument ten
składają się wykazy i tabele opisujące:
obszar przetwarzania danych osobowych,
zbiory danych osobowych, strukturę
zbiorów danych osobowych, sposób
przepływu danych pomiędzy systemami
informatycznymi oraz środki organizacyjne
i techniczne zapewniające ochronę
przetwarzanych danych osobowych.

Natomiast paragraf 5 rozporządzenia

określa zawartość Instrukcji zarządzania
systemem informatycznym służącym do
przetwarzania danych osobowych. Na
dokument ten składają się procedury
zarządzania systemem informatycznym, w
tym procedury związane z zapewnieniem
bezpieczeństwem danych osobowych.

Dokumentacja przetwarzania danych

osobowych może być pomocna przy
opracowaniu listy kontrolnej do audytu
zgodności.

Od dokumentacji przetwarzania

danych osobowych najczęściej
rozpoczyna się kontrola u administratora
danych.

W praktyce obserwuje się dwie

tendencje albo dokumentacja
opracowana przez administratora danych
jest zbyt lakoniczna, nie zawiera wszystkich
wymaganych informacji, albo jest zbyt
szczegółowa (zawiera za dużo szczegółów
technicznych). Częstym błędem jest
publikacja ww. dokumentacji na stronie

WWW administratora danych w zakładce
BIP (Biuletyn Informacji Publicznej). W
tym miejscu warto zauważyć, że sposób
zabezpieczenia danych osobowych
stanowi tajemnicę administratora danych
i wymaga zachowania poufności. Dostęp
do szczegółów, zgodnie z zasadą
wiedzy koniecznej powinien mieć wąski
krąg osób, tylko osoby uprawnione i
upoważnione.

Z audytu zgodności sporządzane

jest sprawozdanie. Integralną częścią
sprawozdania jest lista niezgodności,
w tym niezgodności krytycznych (o ile
takowe występują). Wartością dodaną
audytu zgodności są rekomendacje, które

zawierają działania korekcyjne (działania
przywracające stan zgodny z prawem)
i działania korygujące (działania, które
mają usunąć przyczyny stwierdzonych
nieprawidłowości).

Kontrola danych osobowych

Problematyka kontroli przetwarzania i
ochrony danych osobowych uregulowana
została w ustawie o ochronie danych
osobowych w sposób ogólny. Ustawa
zawiera stosunkowo niewiele przepisów
z tego zakresu. Kontrola ta może być
realizowana przez różne podmioty.
Najczęściej jednak mamy do czynienia
z kontrolą instytucjonalną, sprawowaną

Podstawowe pojęcia związane z ochroną danych

osobowych

• dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej,

• administrator danych – organ, jednostka organizacyjna, podmiot lub osoba,

decydująca o celach i środkach przetwarzania danych osobowych,

• administrator bezpieczeństwa informacji – osoba nadzorująca przestrzeganie zasad

ochrony danych osobowych,

• zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym,

dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie,

• przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych,

takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,

• system informatyczny – zespół współpracujących ze sobą urządzeń, programów,

procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych,

• zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja

stosownych środków technicznych i organizacyjnych zapewniających ochronę danych
przed ich nieuprawnionym przetwarzaniem,

• hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie

uprawnionej do pracy w systemie informatycznym,

• identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie

identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie
informatycznym,

• uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości

podmiotu,

• poufność danych – właściwość zapewniająca, że dane nie są udostępniane

nieupoważnionym podmiotom,

• rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane

w sposób jednoznaczny tylko temu podmiotowi,

• integralność danych – właściwość zapewniająca, że dane osobowe nie zostały

zmienione lub zniszczone w sposób nieautoryzowany,

• usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie

pozwala na ustalenie tożsamości osoby, której dane dotyczą,

• raport – przygotowane przez system informatyczny zestawienia zakresu i treści

przetwarzanych danych,

• teletransmisja – przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,
• sieć publiczna – publiczna sieć telekomunikacyjna wykorzystywana głównie do

świadczenia publicznie dostępnych usług telekomunikacyjnych.

BEZPIECZNA FIRMA

72

HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

73

HAKIN9

11/2009

Tabela 3.

Lista kontrolna – audyt aplikacji przetwarzających dane osobowe

Lista kontrolna

Audyt aplikacji przetwarzających dane osobowe
Lp.

PYTANIE

TAK NIE ND

1

Czy stanowiska przeznaczone do przetwarzania danych osobowych są oznaczone?

2

Czy ustawienie monitorów jest zgodne z ustawą o ODO?

3

Czy jest ustanowiony ABI?

4

Czy jest ustanowiony ASI?

5

Czy mają zdefiniowane zakresy obowiązków?

6

Czy administrator prowadzi ewidencję osób upoważnionych do dostępu do DO?

7

Czy wszystkie osoby mające dostęp do danych osobowych:

7.1

zostały zapoznane z przepisami o ochronie danych osobowych?

7.2

zostały przeszkolone w zakresie zabezpieczeń systemu informatycznego?

7.3

uzyskały wpis do swojej karty zadań, określający indywidualny zakres odpowiedzialności danej osoby za

ochronę danych osobowych?

7.4

złożyły oświadczenie według wzoru?

8

Czy oświadczenie, o którym mowa w pkt 7.4 zostało dołączone do akt osobowych pracownika?

9

Czy w celu przetwarzania danych osobowych wdrożono odpowiedni poziom zabezpieczeń?

10

Czy zostały podjęte odpowiednie kroki lub zastosowano odpowiednie środki administracyjne ograniczające

możliwość wystąpienia zagrożeń ze strony Internetu (zwłaszcza poczty elektronicznej) w systemach

przetwarzających dane osobowe?

11

Czy w ramach nadzoru nad dostępem użytkowników do systemu informatycznego stosuje się procedurę

przydziału uprawnień?

12

Czy uprawnienia dostępu do systemu informatycznego udzielone są wyłącznie osobom zatrudnionym przy

przetwarzaniu danych osobowych?

13

Czy osoby niezatrudnione a wykonujące doraźne prace mają dostęp do danych osobowych?

14

Czy osoby mające dostęp do danych osobowych zobowiązane są do zachowania danych w tajemnicy,

także po ustaniu zatrudnienia?

15

Czy przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą?

16

Czy administrator danych nie zmienia celu przetwarzania danych?

17

Czy dane przechowywane są w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż

jest to niezbędne do osiągnięcia celu przetwarzania?

18

Czy miało miejsce udostępnienie danych osobom nieupoważnionym?

18.1

umyślne

18.2

nieumyślne

19

Czy w przypadku danych osobowych przechowywanych w postaci zapisu elektronicznego stwierdzono:

19.1

kradzież danych?

19.2

uszkodzenie danych?

19.3

zniszczenie danych?

20

Czy system informatyczny dla każdej osoby, której dane są w nim przetwarzane odnotowuje:

20.1

datę wprowadzenia danych tej osoby

20.2

identyfikator wprowadzającego dane

20.3

informację: komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnianie

danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne

20.4

sprzeciw, o którym mowa w art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych, po jego

uwzględnieniu, oraz sprzeciwu określonego w ar. 32 ust. 1 pkt 8 tej ustawy

BEZPIECZNA FIRMA

72

HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

73

HAKIN9

11/2009

przez organ ochrony danych osobowych
– Generalnego Inspektora Ochrony
Danych Osobowych (GIODO). Wówczas
celem kontroli jest ustalenie stanu
faktycznego w zakresie przestrzegania
przez podmiot kontrolowany przepisów
o ochronie danych osobowych oraz
udokumentowanie dokonanych ustaleń.

Kontrolę taką przeprowadza zespół

kontrolny składający się najczęściej z
trzech osób (2 prawników i 1 informatyk).
Podczas kontroli przestrzegania przepisów
o ochronie danych osobowych inspektorzy
zwracają szczególną uwagę na przesłanki
legalności przetwarzania danych, które
zostały wymienione w art. 23 ustawy.
Sprawdzeniu podlega również zakres i
cel przetwarzania danych, merytoryczna
poprawność danych i ich adekwatność
do celu przetwarzania. Weryfikacji

podlegają także podstawowe obowiązki
spoczywające na administratorze
danych, a w szczególności wypełnianie
obowiązku informacyjnego, zgłoszenie
zbiorów danych do rejestracji, o ile zbiory
podlegają rejestracji, przesłanki związane
z przekazywaniem danych osobowych
do państwa trzeciego, fakt powierzenia
przetwarzania danych osobowych,
jeśli miał miejsce oraz zabezpieczenie
danych osobowych (zabezpieczenia
organizacyjno-techniczne). Patrz
wykaz zabezpieczeń organizacyjnych i
technicznych (Tabela 7 i 8).

Oprócz zbiorów danych

przetwarzanych manualnie kontroli
podlegają zbiory danych przetwarzane
w systemach informatycznych, w których
przetwarzane są dane osobowe. Kontrola
obejmuje zarówno bezpieczeństwo

fizyczne, jak i bezpieczeństwo
teleinformatyczne danych osobowych.
W ramach bezpieczeństwa fizycznego
danych osobowych sprawdzane jest
zabezpieczenie pomieszczeń, w których
zlokalizowane są urządzenia systemów
informatycznych (serwery i stacje robocze,
urządzenia sieciowe) i nośniki informacji,
na których przechowywane są kopie
zapasowe oraz archiwalne. W ramach
bezpieczeństwa teleinformatycznego
danych osobowych inspektorzy
sprawdzają, czy systemy teleinformatyczne
spełniają wymagania w zakresie
funkcjonalności, tj. odnotowywania przez
system wszystkich zdarzeń wynikających z
rozporządzenia wykonawczego do ustawy
oraz czy zastosowano właściwy poziom
bezpieczeństwa przetwarzania danych
osobowych, adekwatny do kategorii

Tabela 3.

Lista kontrolna – audyt aplikacji przetwarzających dane osobowe

Lista kontrolna

Audyt aplikacji przetwarzających dane osobowe
Lp.

PYTANIE

TAK NIE ND

20.5

źródła pochodzenia danych

21

Czy system informatyczny umożliwia udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści

danych o każdej osobie, której dane są przetwarzane wraz z informacjami, o których mowa w § 31 ODO?

22

Czy system informatyczny przetwarzający dane osobowe jest monitorowany w zakresie zabezpieczeń?

23

Czy istnieje harmonogram monitorowania systemu informatycznego przetwarzającego dane osobowe?

24

Czy ewidencjonowano i analizowano przypadki podejrzenia naruszenia zabezpieczeń systemu

informatycznego?

25

Czy ABI prowadzi rejestr, o którym mowa w ustawie ODO?

26

Czy przeprowadzono kontrolę ABI w zakresie sposobu prowadzenia rejestru, o którym mowa w ustawie ODO?

27

Czy miejsce przechowywania informacji jest należycie zabezpieczone?

28

Czy dane osobowe przechowywane są w postaci:

28.1

wydruków?

28.2

elektronicznej?

29

Czy wydruki zawierające dane osobowe przechowywane są w pomieszczeniach chronionych lub

obiektach [np. w szafach] odpowiednio zabezpieczonych?

30

Czy wydruki zawierające dane osobowe niszczone są niezwłocznie po ich wykorzystaniu?

OBJAŚNIENIA UŻYTYCH ZNAKOW I SKRÓTÓW
ODO ochrona danych osobowych
ABI

Administrator bezpieczeństwa Informacji

ASI

Administrator Systemu Informatycznego

DO

dane osobowe

ND

nie dotyczy

Źródło: K. Czerwiński Audyt wewnętrzny, InfoAudit Sp. z o.o., Warszawa 2004

BEZPIECZNA FIRMA

74

HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

75

HAKIN9

11/2009

przetwarzanych danych (dane zwykłe lub
dane wrażliwe) oraz zagrożeń. Ostatnim
etapem kontroli bezpieczeństwa systemów
informatycznych jest szczegółowe
sprawdzenie stosowanych procedur
zarządzania systemami informatycznymi
służącymi do przetwarzania danych
osobowych oraz kontrola zastosowanych
środków bezpieczeństwa. W przypadku
systemów teleinformatycznych
szczegółowej kontroli poddawane są
mechanizmy ochrony teletransmisji.

Sprawdzeniu podlegają również

komputery przenośne wykorzystywane
do przetwarzania danych osobowych
poza obszarem przetwarzania, jak
i elektroniczne nośniki informacji
przekazywane poza ten obszar.

Kontrola instytucjonalna może być z

urzędu (z inicjatywy GIODO), na wniosek
(np. w wyniku skargi), kompleksowa
(obejmująca wszystkie zbiory danych
osobowych u administratora danych) oraz

częściowa (wówczas dotyczy wybranych
zagadnień procesu przetwarzania danych
osobowych).

Oprócz kontroli instytucjonalnej

(GIODO) możemy jeszcze wyróżnić
kontrolę indywidualną, zgodnie z art.
32 ust. 1 ustawy – sprawowaną przez
osoby, których dane dotyczą, kontrolę
funkcjonalną – sprawowaną przez
podmioty przetwarzające dane osobowe
(np. administratora danych, administratora
bezpieczeństwa informacji, podmioty
przetwarzające dane osobowe na
zlecenie) oraz kontrolę uzupełniającą
– sprawowaną przez inne podmioty (np.
sądy administracyjne na podstawie art. 21
ust. 2 ustawy oraz podmioty niewskazane
w przepisach ustawy np. prokuratura,
sądy powszechne, Trybunał Konstytucyjny,
Europejski Trybunał Praw Człowieka,
Europejski Trybunał Sprawiedliwości,
Rzecznik Praw Obywatelskich oraz niektóre
organy administracji publicznej).

Standardy i wytyczne audytu

i kontroli danych osobowych

Lista standardów i wytycznych w zakresie
audytu i kontroli danych osobowych jest
dość pokaźna. Standardy te określają
przede wszystkim co ma być wykonane
w trakcie prac audytowych/kontroli oraz
jak należy wykonywać prace audytowe/
kontrolę.

W praktyce można wykorzystać

wspomniane wcześniej Wytyczne
zarządzania i nadzoru nad systemami
informatycznymi pod kątem zgodności z
ustawą o ochronie danych osobowych
– UODO Survival Kit 2.1. Autorami
Wytycznych są audytorzy ISACA. Celem
opracowania jest pomoc wszystkim
osobom zainteresowanym zapewnieniem
zgodności działania firmowych systemów
informatycznych z ustawą o ochronie
danych osobowych, a w szczególności
pomoc w audycie przetwarzaniu danych
osobowych w systemach informatycznych.

Tabela 5.

Zawartość dokumentu Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Lp. Instrukcja zarządzania systemem informatycznym

służącym do przetwarzania danych osobowych

1

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz

wskazanie osoby odpowiedzialnej za te czynności

2

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

3

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

4

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich

przetwarzania

5

Sposób, miejsce i okres przechowywania:

- elektronicznych nośników informacji zawierających dane osobowe

- kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

6

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie

nieuprawnionego dostępu do systemu informatycznego

7

Sposób realizacji odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie

udostępnienia

8

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

Tabela 4.

Zawartość dokumentu Polityka bezpieczeństwa danych osobowych

Lp. Polityka bezpieczeństwa danych osobowych

1

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w których przetwarzane są dane osobowe

2

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

3

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

4

Sposób przepływu danych pomiędzy poszczególnymi systemami

5

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności

przetwarzanych danych

BEZPIECZNA FIRMA

74

HAKIN9 11/2009

AUDYT A KONTROLA DANYCH OSOBOWYCH

75

HAKIN9

11/2009

Z opracowania mogą skorzystać zarówno
osoby, które dopiero zaczynają zajmować
się ochroną danych osobowych w
systemach informatycznych, osoby,
które już wdrożyły mechanizmy ochrony
danych osobowych w systemach
informatycznych, osoby zarządzające
firmami, czy organizacjami (administratorzy
danych), jak i osoby, które chcą
zweryfikować zgodność z ustawą, które
chcą przeprowadzić audyt. Opracowanie
zawiera listę pytań kontrolnych (119
pytań), mapowanie artykułów ustawy
o ochronie danych osobowych i
rozporządzenia wykonawczego na
cele kontrolne schematu COBIT 4.1
(210 celów kontrolnych) oraz słownik
pojęć związanych z ochroną danych
osobowych w systemach informatycznych
(polsko-angielski). Lista pytań kontrolnych

adresowana jest do trzech grup
odbiorców: administratorów danych,
administratorów bezpieczeństwa informacji

i administratorów wykonawczych (np.
administratorów systemu/aplikacji/
serwera/danych). Ponadto lista pytań

Tabela 6.

Zakres kontroli zgodności

Lp. Zakres kontroli zgodności

1

Przesłanki legalności przetwarzania danych osobowych

2

Przesłanki legalności przetwarzania danych osobowych szczególnie

chronionych

3

Zakres i cel przetwarzania danych

4

Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania

5

Obowiązek informacyjny

6

Zgłoszenie zbioru do rejestracji

7

Przekazywanie danych do państwa trzeciego

8

Powierzenie przetwarzania danych osobowych

9

Zabezpieczenie danych

Źródło: GIODO

Tabela 7.

Środki organizacyjne

Lp Środki organizacyjne

1

Wydane upoważnienia do przetwarzania danych osobowych (określony zakres dostępu do danych osobowych)

2

Przydzielone identyfikatory osobom przetwarzającym dane osobowe w systemach informatycznych

3

Przeszkolone osoby zatrudnione przy przetwarzaniu danych osobowych (z przepisów prawa i przepisów wewnętrznych o

ochronie danych osobowych)

4

Opracowane i wdrożone uregulowania wewnętrzne dotyczące ochrony danych osobowych (polityka bezpieczeństwa danych

osobowych, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, procedury

eksploatacyjne, itp.)

5

Opracowane procedury przekazywania urządzeń i nośników zawierających dane osobowe poza obszar przetwarzania

danych

6

Opracowane procedury oznakowania, przechowywania i niszczenia nośników zawierających dane osobowe (obowiązek

stosowania niszczarek)

7

Opracowane procedury likwidacji urządzeń zawierających dane osobowe

8

Określone zasady sprzątania pomieszczeń, w których przetwarza się dane osobowe (sprzątanie realizowane w godzinach

pracy i pod nadzorem)

9

Opracowane procedury pobierania/zdawania kluczy do pomieszczeń, w których przetwarza się dane osobowe

10 Wyznaczone pomieszczenia do przetwarzania danych osobowych (na podstawie analizy ryzyka)
11 Zainstalowane zabezpieczenia mechaniczne w pomieszczeniach, w których przetwarza się dane osobowe (kraty, rolety

antywłamaniowe, atestowane zamki, pełne drzwi, itp.)

12 Zapewniony nadzór nad komputerami przenośnymi, na których przetwarza się dane osobowe
13 Oznakowane komputery, na których przetwarza się dane osobowe
14 Przetwarzanie danych osobowych odbywa się na dedykowanych stanowiskach komputerowych lub w dedykowanych

lokalnych sieciach (w przypadku systemów sieciowych)

15 Zapewniona kontrola dostępu do pomieszczeń, w których przetwarza się dane osobowe
16 Konserwacja i naprawy sprzętu komputerowego przeprowadzane są pod nadzorem osoby upoważnionej
17 Przeprowadzana jest okresowo analiza ryzyka zabezpieczenia danych osobowych przetwarzanych manualnie i elektronicznie

w systemach informatycznych

18 Monitorowany jest stan ochrony danych osobowych, a w szczególności sposób reagowania na incydenty związane z

naruszeniem bezpieczeństwa przetwarzania danych osobowych

BEZPIECZNA FIRMA

76

HAKIN9 11/2009

zawiera dodatkowe pytania związane
z kontrolą wewnętrzną i audytami
zewnętrznymi (dodatkowe punkty kontrolne),
rekomendowane na podstawie własnych
doświadczeń autorów Wytycznych.

Znając mapowanie przepisów ustawy

na schemat COBIT możemy zastosować

go do ustalenia mechanizmów praktyk
kontrolnych dla systemów informatycznych,
w których przetwarza się dane osobowe
pod kątem zgodności z ustawą. Natomiast
opracowany słownik pojęć ułatwi nam
korzystanie z dokumentów w języku
angielskim.

Kolejnym opracowaniem ISACA

pomocnym w audycie i kontroli danych
osobowych są Standardy, wytyczne i
procedury audytowania i kontrolowania
systemów informatycznych. Opracowanie
składa się z trzech części. Zawiera kodeks
etyki zawodowej dla członków ISACA, dla
osób posiadających tytuł certyfikowanego
audytora systemów informatycznych
(CISA), dla osób posiadających
tytuł certyfikowanego managera
bezpieczeństwa informatycznego (CISM)
oraz standardy, wytyczne i procedury
audytowania systemów informatycznych
i standardy kontrolowania systemów
informatycznych.

Również metodyka COBIT (standard

zarządzania, kontroli i audytu systemów
informatycznych) produkt ISACA,
może być przydatna w sprawdzeniu
zgodności funkcjonowania systemów
informatycznych z przepisami prawa.
Według tej metodyki procedura audytowa
składa się z 5 faz: zapoznania się
z procesem, oceny mechanizmów
kontrolnych, oceny zgodności, oceny
ryzyka oraz opracowania raportu.

Metodyki audytu

Spośród dostępnych metodyk można
polecić Czytelnikom dostępne w Internecie
metodyki, np. metodykę LP-A –
przeprowadzania audytu bezpieczeństwa
teleinformatycznego, metodykę P-PEN – w
ykonywania testów penetracyjny systemów
teleinformatycznych oraz metodykę L-RAC
– analizy i kontrolowania ryzyka w zakresie
bezpieczeństwa teleinformatycznego.

Metodyka L-PA służy do

przeprowadzania audytu z zakresu
bezpieczeństwa teleinformatycznego.
Autorami są K. Liderman i A. E. Patkowski
z Instytutu Teleinformatyki i Automatyki
Wojskowej Akademii Technicznej.
Odbiorcami tej metodyki mogą być
zarówno audytorzy mający ocenić stan
bezpieczeństwa teleinformatycznego,
jak i kadra kierownicza. W metodyce tej
wzorcem odniesienia jest norma ISO/IEC
17799. Nic nie stoi na przeszkodzie, aby
zamiast normy ISO, wzorcem odniesienia
były wymagania ustawy o ochronie
danych osobowych i rozporządzenia
wykonawczego do ustawy w sprawie
dokumentacji przetwarzania danych

Tabela 8.

Środki techniczne

Lp. Środki techniczne

1

Kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej oraz do

zasobów programowych (hasło do BIOS-u, hasło wygaszacza ekranu, hasło

logowania do systemu operacyjnego, hasło logowania do aplikacji, hasło sieciowe)

2

Program antywirusowy (aktualizowana na bieżąco baza sygnatur wirusów)

3

Uaktualniane na bieżąco oprogramowanie systemowe i użytkowe

4

Kopie zapasowe zbiorów danych oraz programów służących do przetwarzania

danych

5

Awaryjne zasilanie zestawów komputerowych, na których przetwarza się dane

osobowe

6

Szyfrowanie danych osobowych przetwarzanych na komputerach przenośnych

7

Szyfrowanie danych osobowych przesyłanych przez sieć publiczną

8

Zapora ogniowa

9

System wykrywania intruzów

Podstawy prawne

• Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr

101, poz. 926, z późn. zm.),

• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),

• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony
Danych Osobowych (Dz. U. z 2004 r. Nr 100, poz. 1025),

• Zalecenia Generalnego Inspektora Ochrony Danych Osobowych: ABC zasad kontroli

przetwarzania danych osobowych.

Literatura

• P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych – Studium teoretyczno-

prawne, Wydawnictwo KUL Lublin 2008,

• K. Czerwiński, Audyt wewnętrzny, InfoAudit Sp. z o.o., Warszawa 2004 ,
• M. Molski, M. Łacheta, Przewodnik audytora systemów informatycznych, Wydawnictwo

Helion, Warszawa 2007,

• M. Forystek, Audyt informatyczny, InfoAudit Sp. z o.o., Warszawa 2005,
• K. Liderman, Podręcznik administratora bezpieczeństwa teleinformatycznego, MIKOM,

Warszawa 2003,

• K. Liderman, Analiza ryzyka i ochrona informacji w sieciach komputerowych, MIKOM,

Warszawa 2008,

• ISACA, Wytyczne zarządzania i nadzoru nad systemami informatycznymi pod kątem

zgodności z ustawą o ochronie danych osobowych" – UODO Survival Kit 2.1,

• ISACA, Standardy, wytyczne i procedury audytowania i kontrolowania systemów

informatycznych.

AUDYT A KONTROLA DANYCH OSOBOWYCH

77

HAKIN9

11/2009

osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania
danych osobowych.

Audyt wg metodyki LP-A składa się

z następujących etapów: sporządzenie
listy audytowej wg wybranego standardu,
wypełnienie listy audytowej na podstawie
ankietowania, wywiadów, wizji lokalnych,
analizy dokumentów oraz testów i badań,
ścieżki technicznej obejmującej badanie
systemu ochrony fizycznej i technicznej
oraz sieci i systemów teleinformatycznych
oraz sporządzenie dokumentacji z audytu
(raportu) obejmującego ustalenia oraz
rekomendacje.

Uzupełnieniem metodyki LP-A jest

metodyka P-PEN – przeprowadzania
testów penetracyjnych systemów
teleinformatycznych. Można ja także
wykorzystać w samodzielnych
przedsięwzięciach testów penetracyjnych
w celu zidentyfikowania podatności
słabych punktów w badanych systemach
teleinformatycznych.

Metodyka składa się z trzech etapów:

analizy, właściwych badań oraz syntezy
(integracji wyników). W wyniku jej realizacji
otrzymujemy wykaz podatności (w tym
podatności krytycznych) oraz obraz
stanu zabezpieczeń sieci i systemów
teleinformatycznych.

Z kolei metodykę L-RAC – analizy

i kontrolowania ryzyka w zakresie

bezpieczeństwa teleinformatycznego
można wykorzystać do szacowania
ryzyka w odniesieniu do danych
osobowych przetwarzanych w systemach
informatycznych (obszarów związanych z
największym ryzykiem).

Podsumowanie

Przepisy prawa nie regulują problematyki
audytu zgodności przetwarzania danych
osobowych z wymaganiami ustawy o
ochronie danych osobowych. Ustawa
o ochronie danych osobowych odnosi
się jedynie do kontroli instytucjonalnej,
wykonywanej przez inspektorów GIODO.

Polskie normy dotyczące

bezpieczeństwa informacji (PN-ISO/IEC
17799: 2007 Technika informatyczna
– Techniki bezpieczeństwa – Praktyczne
zasady zarządzania bezpieczeństwem
informacji i PN-ISO/IEC 27001: 2007
Technika informatyczna - Techniki
bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji
– Wymagania) odnoszą się w rozdziale
Zgodność do problematyki zgodności z
przepisami prawa.

Celem zgodności z przepisami prawa

jest unikanie naruszania jakichkolwiek
przepisów, zobowiązań wynikających
z ustaw, rozporządzeń wykonawczych
do ustaw, regulacji wewnętrznych lub
umów oraz jakichkolwiek wymagań
bezpieczeństwa, w tym standardów
branżowych i tzw. dobrych praktyk.

Zapisy podrozdziału – 15.1.4 Ochrona

danych osobowych i prywatność
informacji dotyczących osób fizycznych
normy ISO 17799, zalecają zapewnienie
zgodności ochrony danych osobowych i
prywatności z odpowiednimi przepisami
prawa, regulacjami wewnętrznymi,
i jeśli jest to wymagane z zapisami
odpowiednich umów.

W wyniku czego, w wielu firmach

tworzy się specjalne komórki
organizacyjne/stanowiska pracy dotyczące
compliance. Stąd wzrastająca rola audytu
i kontroli wewnętrznych, jak i zewnętrznych
wykonywanych przez komercyjne firmy
konsultingowe. Należałoby życzyć sobie,
aby takie działania audytowe i kontrolne
podejmowane były we wszystkich
organizacjach przynajmniej raz w roku.
Badanie i ocena stanu zgodności
przetwarzania danych osobowych z
przepisami o ochronie danych osobowych
pozwoliłaby podjąć odpowiednie działania
zapobiegawcze i naprawcze. Receptą
na compliance jest wdrożenie w firmach
systemu zarządzania bezpieczeństwem
informacji i jego certyfikacja na zgodność
z norma ISO 27001, która wymusza
takie działania. Poddaję to pod rozwagę
zarządzającym.

Andrzej Guzik

Audytor systemu zarządzania bezpieczeństwem

informacji i systemu zarządzania jakością, audytor

wewnętrzny, ekspert w zakresie ochrony informacji prawnie

chronionych, redaktor portalu www.ochronainformacji.pl.

Kontakt z autorem: a.guzik@ochronainformacji.pl.

R

E

K

L

A

M

A