1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Audyt zgodności technicznych zabezpieczeń IT z RODO – jak go przeprowadzić krok po kroku
Wyszukiwanie...
Data publikacji: 05.04.2026

Audyt zgodności technicznych zabezpieczeń IT z RODO – jak go przeprowadzić krok po kroku

Spis treści

RODO (Rozporządzenie UE 2016/679) wymaga od firm i instytucji, by nie tylko wdrażały środki ochrony danych osobowych, ale też potrafiły udowodnić ich skuteczność. W praktyce oznacza to konieczność przeprowadzania regularnych audytów technicznych zabezpieczeń IT. Audyt nie jest więc „opcją” – to narzędzie do realizacji zasady rozliczalności i dowód na to, że administrator faktycznie dba o bezpieczeństwo.

W tym poradniku pokazuję:

  • jak zaplanować audyt krok po kroku,
  • jakie środki ochrony trzeba weryfikować,
  • jak dokumentować zgodność i niezgodności,
  • jakie przykłady problemów pojawiają się najczęściej.

Treść bazuje na programie szkoleniowym i kazusach z materiału „Audyt zgodności zabezpieczeń technicznych IT z RODO” oraz na literalnych przepisach RODO, które cytuję wprost.

Ramy prawne audytu: jakie przepisy nakładają obowiązki

Aby audyt miał sens, musimy znać fundament prawny, czyli przepisy RODO, które wprost wymagają wdrażania i przeglądu zabezpieczeń:

  • Art. 5 ust. 1 lit. f – Rozporządzenie (UE) 2016/679 (RODO):
    „Dane osobowe muszą być: (…) f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (‘integralność i poufność’).”
  • Art. 24 ust. 1 – Rozporządzenie (UE) 2016/679 (RODO):
    „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”
  • Art. 32 ust. 1 – Rozporządzenie (UE) 2016/679 (RODO):
    „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”
  • Art. 39 ust. 1 – Rozporządzenie (UE) 2016/679 (RODO):
    „Inspektor ochrony danych ma następujące zadania: a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; (…) d) monitorowanie przestrzegania niniejszego rozporządzenia (…) w tym podziału obowiązków, podnoszenia świadomości i szkoleń personelu uczestniczącego w operacjach przetwarzania, oraz powiązanych audytów.”

👉 Jak widać, audyt jest wręcz wpisany w obowiązki administratora i IOD.

Planowanie audytu krok po kroku

Aby audyt był skuteczny, nie może być działaniem ad hoc. W programie szkolenia wyróżniono kilka etapów przygotowania:

1. Ustalenie zakresu audytu

  • Jakie systemy i procesy obejmujemy (np. serwery, stacje robocze, urządzenia mobilne, systemy chmurowe)?
  • Jakie rodzaje zabezpieczeń sprawdzamy (antywirus, EDR, MDM, szyfrowanie, backup, kontrola dostępu, logowanie, praca zdalna)?
  • Czy audyt obejmuje podmioty przetwarzające (procesorów)?

2. Zdefiniowanie kryteriów oceny

Audyt nie jest tylko opisem „jest/nie ma”. Materiał szkoleniowy wskazuje 4 poziomy:

  • Zgodność – wymogi spełnione w pełni,
  • Obserwacja – nieprawidłowość bez istotnego ryzyka,
  • Częściowa niezgodność – wdrożenie niepełne,
  • Niezgodność – poważne uchybienie zwiększające ryzyko.

3. Zasoby i metody

  • Czas i harmonogram – np. audyt roczny, plus kontrole ad hoc.
  • Ludzie – właściciele systemów, administratorzy IT, IOD.
  • Dowody – logi, raporty, zrzuty ekranu, próbki konfiguracji, protokoły testów.
  • Metody – wywiady, przegląd dokumentacji, testy techniczne (np. test odtworzenia kopii zapasowej, skan podatności).

4. Odniesienie do norm i standardów

Audyt warto prowadzić w oparciu o uznane standardy:

  • ISO/IEC 27001 i 27002,
  • Narodowe Standardy Cyberbezpieczeństwa (NSC-200),
  • Poradniki NASK dla MŚP.

Obszary audytu technicznych zabezpieczeń IT – checklisty i dowody zgodności

W materiałach szkoleniowych wyodrębniono kilka kluczowych obszarów, które zawsze powinny być sprawdzane podczas audytu. Każdy obszar wymaga nie tylko pytania „czy mamy zabezpieczenie?”, ale także „czy działa, czy jest aktualne, czy można to udowodnić?”.

Poniżej znajdziesz checklisty oraz wskazówki, jakie dowody powinny być zebrane.

1) Ochrona przed złośliwym oprogramowaniem (antywirus, EDR, antimalware)

Pytania kontrolne:

  • ✔ Jakie rozwiązania są wdrożone (AV, EDR, firewall osobisty)?
  • ✔ Na ilu urządzeniach działają (czy pokrywają 100% stacji roboczych i serwerów)?
  • ✔ Kto może wyłączyć ochronę i czy decyzje są dokumentowane w analizie ryzyka?
  • ✔ Czy polityka wymusza regularne aktualizacje sygnatur?
  • ✔ Jak system raportuje zagrożenia (dashboard, powiadomienia do SOC, logi)?
  • ✔ Czy wykonywane są regularne skany podatności?
  • ✔ Czy włączone są mechanizmy blokowania portów USB, filtrowania stron itp.?

Dowody zgodności:

  • Raporty z EDR (ostatnie 30–90 dni).
  • Zestawienie urządzeń chronionych vs. lista inwentarzowa.
  • Zrzuty konfiguracji polityki aktualizacji.
  • Protokoły testów penetracyjnych lub skanów podatności.

2) Bezpieczeństwo urządzeń mobilnych (telefony, tablety, laptopy)

Pytania kontrolne:

  • ✔ Czy urządzenia są szyfrowane (BitLocker, FileVault, szyfrowanie Android/iOS)?
  • ✔ Jak jest zabezpieczony transfer danych (VPN, TLS, DNS-over-HTTPS)?
  • ✔ Jakie metody uwierzytelniania są stosowane (MFA, biometria, hasła zgodne z polityką)?
  • ✔ Czy obowiązują blokady ekranu i automatyczne time-outy?
  • ✔ Jak wygląda proces konserwacji (przeglądy MDM, aktualizacje systemów)?
  • ✔ Co dzieje się przy zwrocie sprzętu (wipe, kasowanie, protokoły zwrotu)?

Dowody zgodności:

  • Raport z systemu MDM (polityki, szyfrowanie, wersje OS).
  • Protokół kasowania danych przy zwrocie urządzenia.
  • Logi aktualizacji oprogramowania.

3) Praca zdalna (home office, BYOD, dostęp spoza biura)

Pytania kontrolne:

  • ✔ Czy firma ma politykę BYOD i jakie warunki musi spełnić urządzenie prywatne?
  • ✔ Jak jest zabezpieczony dostęp (VPN, ZTNA, split tunneling, filtrowanie DNS)?
  • ✔ Czy stosuje się MFA i centralne logowanie przez IdP?
  • ✔ Jak są monitorowane logi (SIEM, korelacja zdarzeń)?
  • ✔ Jakie mechanizmy stosuje się dla użytkowników uprzywilejowanych (PAM)?

Dowody zgodności:

  • Raport VPN z MFA adoption rate.
  • Lista wyjątków BYOD wraz z analizą ryzyka.
  • Zrzuty konfiguracji polityki logowania.
  • Raport z SIEM z korelacją logów.

4) Bezpieczna komunikacja elektroniczna (poczta, wymiana plików)

Pytania kontrolne:

  • ✔ Jakie metody szyfrowania stosuje się w e-mailu (TLS, S/MIME, PGP)?
  • ✔ Czy organizacja korzysta z DLP (Data Loss Prevention)?
  • ✔ Jak wyglądają procedury przesyłania haseł (oddzielnym kanałem)?
  • ✔ Czy wymiana plików odbywa się przez zatwierdzoną platformę?
  • ✔ Czy stosowane są linki z ograniczeniem czasowym (TTL) i kontrolą dostępu?
  • ✔ Jak firma ogranicza korzystanie z prywatnych chmur i dysków?

Dowody zgodności:

  • Dzienniki systemów DLP.
  • Konfiguracja M365/Google Workspace (np. polityki szyfrowania poczty).
  • Zrzuty polityki TTL dla linków.
  • Protokoły monitoringu udostępnień plików.

5) Dokumentowanie ustaleń audytu

Każdy obszar musi kończyć się udokumentowaną oceną:

  • Nazwa komponentu/infrastruktury,
  • Zebrany dowód (zrzut, raport, wydruk),
  • Status (zgodność, obserwacja, częściowa niezgodność, niezgodność),
  • Ryzyko (prawdopodobieństwo + skutek),
  • Rekomendacja z terminem i właścicielem.

⚠️ Ważne: dopóki zalecenia nie są wdrożone, ryzyko musi pozostać aktywne w rejestrze ryzyk.

Przykłady audytów w praktyce + plan audytu

Przykład A: EDR wdrożony częściowo

Firma: SoftParts Sp. z o.o. (40 osób, sprzedaż terenowa).

Ustalenia audytu:

  • Oprogramowanie EDR wdrożone na 75% laptopów.
  • Na dwóch serwerach aplikacyjnych brak ochrony.
  • Polityka pozwala użytkownikom na wyłączanie ochrony lokalnie.
  • Brak raportów z ostatnich 60 dni, brak alertów do SOC.

Ocena: Częściowa niezgodność.

  • Środek wdrożony, ale nieskuteczny ze względu na braki w pokryciu i kontroli.

Zalecenia (priorytet wysoki):

  1. Wymusić 100% pokrycia agentami EDR (porównanie inwentarza z listą urządzeń chronionych).
  2. Zablokować możliwość wyłączania ochrony lokalnie.
  3. Włączyć system alertów i raportowania dla zarządu i IOD.
  4. Wdrożyć kwartalne skany podatności.

Podstawa prawna: art. 32 ust. 1 lit. b–d RODO (ciągłość poufności i odporność systemów, możliwość przywrócenia, testowanie).

Przykład B: Praca zdalna i prywatne chmury

Firma: ZielonyList S.A. (120 osób, model hybrydowy).

Ustalenia audytu:

  • Praca na prywatnych laptopach (BYOD) bez MDM i szyfrowania dysków.
  • Wymiana plików z klientami przez prywatne konta w publicznych chmurach (bez ograniczeń czasowych linków).
  • VPN dostępny, ale MFA tylko dla administratorów.

Ocena: Niezgodność.

  • Ryzyko wysokie: brak poufności i brak rozliczalności dostępu.

Zalecenia (priorytet krytyczny):

  1. Wdrożyć MDM dla BYOD lub zakazać korzystania z prywatnych urządzeń.
  2. Wprowadzić zatwierdzony system wymiany plików z szyfrowaniem i linkami z ograniczeniem czasowym.
  3. Wymusić MFA dla wszystkich pracowników zdalnych.

Podstawa prawna: art. 5 ust. 1 lit. f (integralność i poufność), art. 32 ust. 1 lit. a–d (szyfrowanie, ciągłość, odtwarzalność, testy).

Najczęstsze błędy audytowe

  • 📄 Brak dowodów – raport stwierdza zgodność, ale nie ma zrzutów ekranów ani logów.
  • ⚠️ Brak recertyfikacji uprawnień – użytkownicy mają nadmiarowe role przez lata.
  • ❌ EDR/antywirus nie na 100% urządzeń – różnice między inwentarzem a faktycznym wdrożeniem.
  • 📌 Backupy bez testów odtwarzania – kopie istnieją, ale nigdy nie sprawdzono, czy można je przywrócić.
  • 🔄 Niejednoznaczne statusy – obserwacja mylona z częściową niezgodnością.

Wzór planu audytu (do adaptacji)

1. Cel i zakres:

  • Ocena skuteczności zabezpieczeń technicznych IT chroniących dane osobowe.
  • Zakres: EDR/AV, MDM, szyfrowanie, praca zdalna, komunikacja, backup, kontrola dostępu, logowanie, podmioty przetwarzające.

2. Kryteria:

  • RODO (art. 5, 24, 32, 39).
  • Polityki wewnętrzne firmy.
  • Normy ISO/IEC 27001, NSC-200, poradnik NASK.

3. Metody:

  • Wywiady z IOD i administratorami.
  • Przegląd dokumentacji i polityk.
  • Testy techniczne (skan podatności, test odtworzenia backupu).
  • Analiza logów i raportów systemowych.

4. Zasoby:

  • Dostęp do systemów EDR, MDM, VPN, IdP.
  • Inwentarz aktywów IT.
  • Repozytorium polityk bezpieczeństwa.

5. Raportowanie:

  • Każde ustalenie → dowód → status → ryzyko → zalecenie → właściciel → termin.
  • Załączniki: zrzuty ekranów, raporty, protokoły testów.
  • Aktualizacja rejestru ryzyk.

Podsumowanie, podstawa prawna i źródła

Kluczowe wnioski z poradnika

  1. Audyt zabezpieczeń technicznych IT jest obowiązkiem wynikającym z RODO.
    Administrator nie tylko wdraża środki ochrony, ale musi też udowodnić, że działają (zasada rozliczalności).
  2. Planowanie audytu powinno obejmować zakres, kryteria, metody i zasoby. Należy opierać się na RODO, politykach wewnętrznych oraz normach (ISO/IEC 27001, NSC-200, poradnik NASK).
  3. Obszary audytu: ochrona przed malware, urządzenia mobilne, praca zdalna, bezpieczna komunikacja. Każdy obszar wymaga checklisty, dowodów i oceny (zgodność/obserwacja/częściowa niezgodność/niezgodność).
  4. Dowody są kluczowe. Raporty, logi, zrzuty ekranów, protokoły testów – to one przesądzają, czy audyt rzeczywiście potwierdza zgodność.
  5. Najczęstsze błędy: brak dowodów, brak pełnego pokrycia zabezpieczeniami, brak recertyfikacji uprawnień, backupy bez testów, niejasna ocena zgodności.
  6. Dobre praktyki: regularne testy, pełne pokrycie urządzeń, wymuszone MFA, zarządzanie BYOD przez MDM, stosowanie zatwierdzonych systemów wymiany plików.

Podstawa prawna

  • art. 5 ust. 1 lit. f – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – zasada integralności i poufności.
  • art. 24 ust. 1 – Rozporządzenie (UE) 2016/679 (RODO) – obowiązki administratora: wdrożenie i możliwość wykazania zgodności, przeglądy i aktualizacje.
  • art. 32 ust. 1 – Rozporządzenie (UE) 2016/679 (RODO) – bezpieczeństwo przetwarzania: pseudonimizacja i szyfrowanie, poufność, integralność, dostępność i odporność, testowanie skuteczności środków.
  • art. 39 ust. 1 – Rozporządzenie (UE) 2016/679 (RODO) – zadania inspektora ochrony danych, w tym audyty i monitorowanie zgodności.

Tematy porad zawartych w poradniku (SEO)

  • „audyt zabezpieczeń IT RODO 2025”
  • „checklista RODO praca zdalna”
  • „dowody zgodności RODO audyt”
  • „MDM i BYOD a RODO”
  • „NSC-200 wymagania cyberbezpieczeństwa”

Źródła urzędowe i publiczne

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: