Audyt ochrony danych osobowychAudyt ochrony danych osobowych
Klient:Firma kosmetyczna (lider rynku), część międzynarodowego koncernu,
- Kraj/region: Polska
- Zasięg działania: Polska, Europa, Afryka (wygrane w konkursach)
O audycie
Data:2011
Typ audytu:bezpieczeństwa
Branża:kosmetyczna (produkcja)
Kryteria audytu: główne
- Ustawa o ochronie danych osobowych (1997)
- Przepisy wykonawcze do ustawy
Kryteria audytu: dodatkowe
- Ustawa o ochronie osób i mienia (dla form i metod ochrony fizycznej, w tym zabezpieczenia technicznego),
- Ustawa o ochronie przeciwpożarowej (w zakresie ochrony przed pożarem i innymi zagrożeniami miejscowymi),
- Ustawa Kodeks Pracy.
zadanie
Ocena skuteczności systemu ochrony danych osobowych, w zakresie spełnienia wymagań prawnych, w tym poprawności doboru przesłanek przetwarzania danych osobowych, przepływów danych, poprawności rejestracji zbiorów danych osobowych. Ocena zabezpieczenia danych osobowych w sieciach i systemach IT oraz przechowywanych w formach tradycyjnych.
realizacja
Audyt realizowany był w oparciu o autorską Metodykę Audytu Bezpieczeństwa, dzięki czemu czas uległ znacznemu skróceniu.
Audyt trwał 14 dni roboczych (niecały miesiąc). W trakcie audytu, w fazie I zidentyfikowano niezgodności w zakresie stosowania przepisów prawa (brak wymaganych dokumentów). W fazie II audytu ujawniono wiele potencjałów doskonalenia w zakresie przetwarzania danych osobowych dotyczących między innymi przechowywania danych osobowych w kopiach zapasowych i archiwach.
Dodatkowo ochroną danych nie były objęte czynności związane z realizacją prac pożarowo niebezpiecznych, jak również usług wykonywanych przez serwisy zewnętrzne.
efekt
Organizacja wdrożyła zalecenia, utworzyła nieformalny dział bezpieczeństwa oparty o Inspektora Ochrony PPOŻ., Administratora Bezpieczeństwa Informacji i koordynatora ochrony fizycznej (osoba spoza organizacji). Współpraca obejmowała ideę klienta wewnętrznego oraz zrealizowała istotę holistycznego podejścia do bezpieczeństwa.