Opublikowano: 12-05-2019 przez Marcin Michalski

Lemlock Lemlock logo

Sprawdź dwa podstawowe typy audytów RODO: dla firmy i aplikacji. Są to dwie uzupełniające się i konieczne weryfikacje, które warto wprowadzić w swoim biznesie.

Z artykułu dowiesz się:

  • o różnicach między audytem RODO dla organizacji i dla aplikacji;
  • o najważniejszych krokach wykonywanych podczas audytu;
  • na jakie pytania odpowiadają audyty i jaką wiedzę możesz dzięki nim uzyskać.

Weryfikacja bezpieczeństwa organizacji lub systemów to złożone procesy, które wymagają pracy i czasu. To, co musisz wiedzieć, że istnieją dwa podstawowe typy audytów RODO: dla firmy oraz dla aplikacji. Dowiedz się o różnicach i dlaczego zasoby biznesowe powinny być zabezpieczone w obecnych czasach.

Aktualnie dla właścicieli biznesów bardzo ważne jest wykonanie dwóch rodzajów audytów: audytu RODO dla organizacji i audyt RODO dla aplikacji. Różnią się one znacznie od siebie i mimo to wielu specjalistów NIE ZNA kluczowych różnic - zdarza się nawet, że używają oni tych terminów zamiennie lub w niepoprawnych kontekstach. W Lemlock zdarzyły się sytuacje, w których wyjaśnialiśmy istniejące różnicę podczas sprawdzania bezpieczeństwa aplikacji oraz kontroli zgodności aplikacji z RODO dla systemów web i mobile. Zawsze warto rozwiać wszelkie wątpliwości na temat tych czynności oraz tego, czym jest audyt i czy powinienem/-am się nim zainteresować, ponieważ w wielu przypadkach oba audyty są konieczne, a firmy nie zawsze są tego świadome.

Różnice między audytem RODO firmy a audytem RODO aplikacji

Najlepszym sposobem na zaprezentowanie powstających wątpliwości może być typowa rozmowa z Klientem i pytanie, czy posiadana aplikacja została sprawdzona pod względem RODO. Klient najczęściej odpowiada, że została ona zweryfikowana przez prawników. Jednak zastanawiające może być to, w jaki sposób prawnicy są w stanie sprawdzić zgodność systemu IT z RODO bez głębszego rozumienia architektury owego systemu, baz danych, języków programowania czy konfiguracji serwera. Oczywiste jest, że prawnicy mogą przeanalizować wynik takiego audytu, jednak niekoniecznie przygotować go od podstaw i tym bardziej przeprowadzić. W takich momentach można szybko zdać sobie sprawę, że Klient miał na myśli przygotowanie swojej firmy do zgodności z RODO, a nie dokonanie technicznej weryfikacji posiadanych aplikacji IT.

Zgodność organizacji z RODO

Taki audyt zazwyczaj jest albo audytem w firmie, a więc konkretną weryfikacją firmy pod kątem RODO, albo stanowi część rozbudowanego procesu zarządzania danymi (z ang. Data Governance). To umożliwia uzyskanie odpowiedzi na następującą, ogólną listę pytań kontrolnych audytu:

  • Czy moja firma jest w stanie zarządzać ochroną danych moich klientów, pracowników i podwykonawców?
  • Gdzie mogę przechowywać dane osobowe w formie cyfrowej (np. w systemach, bazach danych) i analogowej (np. jako dokumentacja papierowa)?
  • Czy w mojej firmie istnieje ryzyko związane z przetwarzaniem danych osobowych?
  • Czy muszę przygotować wewnętrzne procedury/procesy (zasady bezpieczeństwa), których muszą przestrzegać moi pracownicy, aby zmniejszyć ryzyko związane z naruszeniem bezpieczeństwa?
  • Czy moi pracownicy wymagają dodatkowych szkoleń, aby zrozumieć, jak postępować z danymi osobowymi i jak zabezpieczyć dane osobowe?
  • Czy potrzebuję Inspektora Ochrony Danych w mojej firmie i jakie będą jego/jej obowiązki?

Omawiany audyt może obejmować analizę zasobów organizacji pod kątem wymogów określonych przez RODO oraz sprawdzenie środków na ochronę danych osobowych w firmie. Następnie zostanie dokonana rejestracja wszelkich procesów przeprowadzanych w organizacji, które są związane z przetwarzaniem danych osobowych, a także rejestracja posiadanych zasobów cyfrowych. W ramach audytu należy przeprowadzić wywiady z pracownikami, aby rozszerzyć uzyskane informacje związane z identyfikowaniem zasobów cyfrowych. Ważne jest również stworzenie (gdy potrzebne) Oceny skutków dla ochrony danych (z ang. Data Protection Impact Assessment, DPIA). I wreszcie przeprowadzenie analizy ryzyka oraz przygotowanie dokumentów wymaganych w ramach Rozporządzenia RODO i zarządzania ryzykiem - procedury, zalecenia, polityki bezpieczeństwa.

Audyt techniczny RODO aplikacji

W przypadku tego audytu skupiamy się na całkowicie innych obszarach zwłaszcza wokół działań z zakresu kontroli bezpieczeństwa aplikacji webowych i mobilnych. Oto przykładowa lista pytań audytowych:

  • W jaki sposób moja aplikacja web/mobile/IoT przetwarza dane osobowe?
  • Czy architektura systemu mojej platformy IT spełnia zasadę prywatności w fazie projektowania (z ang. Privacy by Design)?
  • Czy model domeny (struktura bazy danych) mojej aplikacji pozwala mi spełniać wytyczne RODO (tj. realizować Prawo do bycia zapomnianym, Prawo do sprostowania danych itp.)?
  • W jaki sposób kod źródłowy aplikacji obsługuje dane osobowe?
  • Czy mój system importuje/eksportuje dane osobowe z/do innych systemów, a jeśli tak, w jaki sposób obsługuje zarządzanie danymi oraz zarządzanie zgodami na przetwarzanie danych osobowych RODO między procesorem danych a administratorem danych?
  • Czy API mojej aplikacji poprawnie realizuje zasadę prywatności w ustawieniach domyślnych (z ang. Privacy by Default)?
  • W jaki sposób moja aplikacja obsługuje zgody udzielane przez użytkowników, zwłaszcza jeśli ulegnie ona zmianie?
  • Czy są jakieś luki w systemie, które mogą naruszyć prywatność moich użytkowników?
  • W jaki sposób dane osobowe są przechowywane jako prywatne (czy są zastosowane: wielopoziomowe przechowywanie danych, minimalizacja danych, szyfrowanie itp.)?
  • Jaka jest moja polityka tworzenia kopii zapasowych danych i jak odnosi się ona do przepisów RODO?
  • Jak wygląda kwestia konfiguracji serwera i logów systemowych w ramach wymagań RODO?

Istnieje kilka stałych kroków, które powinny zostać uwzględnione w ramach audytu zgodności aplikacji z RODO oraz testów bezpieczeństwa. Przede wszystkim powinno być zweryfikowane API systemu pod kątem interfejsu użytkownika (z ang. User Interface, UI) oraz domyślnego zapewniania bezpieczeństwa. Muszą być zidentyfikować dane, dla których system jest kontrolerem lub procesorem. Następnie konieczne jest przeanalizowanie zastosowanych mechanizmów zabezpieczenia modelu domeny w odniesieniu do zapewnienia ochrony danych już w fazie projektowania. Należy również pamiętać o analizie architektury systemu, jeżeli przeprowadzany jest proces profilowania. Kolejnym krokiem jest ponownie weryfikacja architektury systemu jednak w odniesieniu do praw podmiotów danych (czyli praw możliwych do zidentyfikowania osób fizycznych, których informacje ulegają przetwarzaniu). Kluczowym działaniem jest analiza kodu źródłowego systemu zarządzania zgodami oraz tego, w jaki sposób owy system informuje procesora danych o wyrażeniu zgody przez użytkownika. Warto tutaj podkreślić, że gdy aplikacja jest stale rozwijana, konieczne jest uwzględnienie procesu Continuous Pentesting, czyli ciągłych testów penetracyjnych. Dzięki temu zawsze można mieć pewność, że niezależnie od poziomu rozwoju aplikacji, nie zagraża ona ani biznesowi, ani jego użytkownikom.

Poniżej znajdziesz szybkie porównanie obu audytów:

Lemlock rodzaje audytów.

Mamy nadzieję, że udało nam się przybliżyć temat różnic między dwoma audytami: organizacji oraz aplikacji. Jeśli chcesz dowiedzieć się, jak wygląda raport z audytu technicznego GDPR dla aplikacji, skontaktuj się z nami, a my dostarczymy Ci przykładowy raport.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: