Dynamiczne zmiany w obszarze ochrony danych osobowych, cyberbezpieczeństwa i nowych regulacji (RODO, NIS2, DORA) sprawiają, że przedsiębiorstwa muszą regularnie weryfikować skuteczność swoich zabezpieczeń organizacyjnych. Audyt nie jest jedynie formalnością – to narzędzie pozwalające realnie ocenić poziom bezpieczeństwa i zgodności z prawem, a także wskazać luki, które mogą prowadzić do poważnych konsekwencji finansowych, prawnych czy wizerunkowych.

Z tego poradnika dowiesz się:

• jak przygotować się do audytu krok po kroku,
• jakie dokumenty i procedury należy poddać weryfikacji,
• jakie pytania warto zadawać pracownikom i administratorom IT,
• jak gromadzić i opisywać dowody zgodności,
• jakie kryteria oceny stosować przy raportowaniu,
• jak wygląda raport końcowy i jakie elementy powinien zawierać.

---

Dlaczego audyt jest niezbędny?

Audyt zgodności zabezpieczeń organizacyjnych IT to nie tylko wymóg wynikający z RODO, ale także narzędzie zarządcze. Dzięki niemu:

• pracodawca ma pewność, że procedury (np. dotyczące pracy zdalnej czy ochrony urządzeń mobilnych) działają w praktyce,
• IOD może rzetelnie monitorować przestrzeganie prawa i wewnętrznych polityk,
• dział IT otrzymuje obiektywną ocenę skuteczności wdrożonych rozwiązań,
• zarząd zyskuje materiał do podejmowania decyzji inwestycyjnych i organizacyjnych.

---

Planowanie audytu – pierwszy i kluczowy krok

1. Określenie celu audytu

Podstawowym celem jest weryfikacja środków organizacyjnych stosowanych w firmie i ich zgodności z:

• Rozporządzeniem RODO,
• politykami bezpieczeństwa informacji,
• dobrymi praktykami i standardami (np. ISO/IEC 27001),
• dodatkowymi regulacjami sektorowymi (NIS2, DORA).

Audyt powinien badać zarówno dokumenty, jak i praktyczne stosowanie procedur – czyli to, czy rozwiązania nie istnieją wyłącznie „na papierze”.

2. Zakres audytu

Zakres musi być precyzyjnie określony – zbyt szeroki powoduje chaos, a zbyt wąski może pominąć kluczowe ryzyka. Najczęściej obejmuje on:

• pracę zdalną i telepracę,
• korzystanie z urządzeń mobilnych,
• ochronę antywirusową i systemy antymalware,
• bezpieczną komunikację i wymianę plików,
• zarządzanie dostępami i uprawnieniami,
• wykonywanie i przechowywanie kopii zapasowych,
• zasady czystego biurka i czystego ekranu,
• plan ciągłości działania i odtwarzania po awarii,
• aktualizacje systemów i oprogramowania,
• zarządzanie incydentami i podatnościami.

3. Harmonogram i zasoby

Plan audytu powinien określać:

• czas trwania poszczególnych etapów (przegląd dokumentacji, wywiady, testy, opracowanie raportu),
• osoby zaangażowane – inspektor ochrony danych, administratorzy IT, przedstawiciele HR, wybrani użytkownicy,
• narzędzia i dostępne systemy – polityki, rejestry, logi, konsola antywirusa, system zarządzania uprawnieniami.

📌 Wskazówka praktyczna: harmonogram warto dopasować tak, aby audyt nie paraliżował codziennych działań firmy – np. wywiady z pracownikami najlepiej umawiać w godzinach o mniejszym natężeniu pracy.

Dokumenty i procedury do weryfikacji w audycie zabezpieczeń organizacyjnych

Audyt zabezpieczeń organizacyjnych nie opiera się na „intuicji” audytora – jego fundamentem jest dokumentacja. To ona pokazuje, jakie rozwiązania zostały przyjęte i jak mają być stosowane w praktyce. Dlatego pierwszym etapem audytu jest zebranie i przeanalizowanie wszystkich kluczowych polityk, procedur oraz rejestrów.

---

A. Dokumentacja RODO i bezpieczeństwa informacji

W każdej organizacji podstawą są dokumenty wynikające z ogólnego rozporządzenia o ochronie danych osobowych. Audyt powinien zweryfikować m.in.:

• Politykę ochrony danych osobowych – czy jest aktualna, podpisana przez zarząd, zgodna z praktyką firmy,
• Politykę bezpieczeństwa IT – określającą standardy pracy użytkowników i administratorów,
• Analizę ryzyka oraz – jeśli jest wymagane – DPIA (ocenę skutków dla ochrony danych),
• Procedury zgłaszania naruszeń i prowadzenia rejestru incydentów,
• Rejestr czynności przetwarzania (RCP) oraz – jeśli firma działa jako podmiot przetwarzający – Rejestr kategorii czynności przetwarzania (RKCP),
• Plany ciągłości działania (BCP) i procedury odtwarzania po awarii (Disaster Recovery),
• Oceny podmiotów przetwarzających – w tym kryteria oceny dostawców i raporty z ich weryfikacji.

📌 Praktyczna rada: sprawdzaj, czy dokumenty nie tylko istnieją, ale czy faktycznie odpowiadają praktyce. Jeśli np. polityka mówi o „obowiązkowym szkoleniu co rok”, a ostatnie szkolenie odbyło się 3 lata temu, mamy do czynienia z niezgodnością.

---

B. Dokumentacja w ramach systemów zarządzania bezpieczeństwem informacji (ISO/IEC 27001)

Jeśli firma posiada wdrożony system zarządzania bezpieczeństwem informacji (SZBI), audyt obejmuje również dokumenty wymagane przez normę, takie jak:

• Polityka bezpieczeństwa informacji – nadrzędny dokument w SZBI,
• Rejestr i klasyfikacja aktywów informacyjnych (np. pliki, serwery, bazy danych),
• Procedury zarządzania incydentami i dostawcami,
• Procedura pracy zdalnej,
• Procedura nadawania i odbierania uprawnień,
• Instrukcja niszczenia nośników i dokumentów,
• Procedury tworzenia i przechowywania kopii zapasowych,
• Zasady czystego biurka i czystego ekranu,
• Polityka bezpieczeństwa sieci i urządzeń mobilnych,
• Procedury zarządzania zmianą i konfiguracją,
• Raporty ze skanowania podatności,
• Polityka aktualizacji i licencjonowania oprogramowania,
• Dokumentacja dot. ochrony antywirusowej i antymalware.

---

C. Dokumenty związane z regulacjami sektorowymi (NIS2, DORA)

Nie wszystkie firmy muszą stosować te przepisy, ale w branżach telekomunikacyjnych, energetycznych, transportowych, finansowych czy medycznych będą one kluczowe.

• NIS2 (cyberbezpieczeństwo w usługach kluczowych i ważnych) wymaga m.in.:
  • procedur zarządzania ryzykiem cyber,
  • planów ciągłości działania,
  • zasad oceny bezpieczeństwa dostawców i podwykonawców,
  • procedur notyfikacji incydentów,
  • programów szkoleń pracowników,
  • polityki wymiany informacji o zagrożeniach.
• DORA (Digital Operational Resilience Act – sektor finansowy) nakłada wymóg m.in.:
  • polityki zarządzania ryzykiem usług ICT,
  • klasyfikacji i notyfikacji incydentów,
  • testowania odporności systemów,
  • analizy ryzyka usług świadczonych przez dostawców ICT,
  • zapisania wymagań w umowach z dostawcami (np. SLA, raportowanie incydentów).

---

D. Dowody zgodności – co sprawdza audytor?

Sam dokument nie wystarczy – trzeba jeszcze zweryfikować, czy pracownicy faktycznie przestrzegają procedur. W tym celu audytor gromadzi dowody, np.:

• listy obecności ze szkoleń,
• oświadczenia pracowników (np. o zapoznaniu się z polityką),
• raporty z systemów IT (np. szyfrowanie dysków, status aktualizacji),
• logi VPN,
• zestawienia z konsoli antywirusowej,
• zrzuty ekranu potwierdzające zabezpieczenia.

⚠️ Ważne: do raportu nie trzeba dołączać kopii wszystkich wrażliwych dokumentów. Wystarczy szczegółowy opis (nazwa, data, wersja dokumentu) albo bezpieczny fragment dowodu (np. zrzut ekranu z zamazanymi danymi osobowymi). To minimalizuje ryzyko wycieku podczas obiegu raportu.

Metodyka audytu i kryteria oceny w zgodności zabezpieczeń organizacyjnych

Aby audyt miał realną wartość, musi być prowadzony według uporządkowanej metodyki. Dzięki temu wyniki są powtarzalne, rzetelne i porównywalne w czasie.

---

Jak audytor weryfikuje środki ochrony?

Audyt nie polega wyłącznie na przeglądzie dokumentów – kluczowe jest zestawienie teorii (polityki, procedury) ze stanem faktycznym (praktyka organizacyjna).

Najczęściej stosuje się trzy techniki:

1. Listy kontrolne (checklisty)

• Audytor przygotowuje zestaw pytań kontrolnych do każdego obszaru (np. praca zdalna, antywirus, dostęp do sieci).
• Pytania odnoszą się zarówno do dokumentów, jak i do działań faktycznych.
• Checklisty są punktem odniesienia przy wystawianiu ocen.

2. Wywiady

• Rozmowy z inspektorem ochrony danych, administratorami IT, a także z pracownikami.
• Celem jest sprawdzenie, czy wiedzą oni o obowiązujących zasadach i czy je stosują.
• Wywiady pozwalają ujawnić rozbieżności między dokumentacją a praktyką (np. „tak, mamy VPN, ale większość loguje się tylko loginem i hasłem”).

3. Weryfikacja dowodów

• Audytor zbiera twarde dowody, np. zrzuty ekranu potwierdzające szyfrowanie dysków, raporty z systemów antywirusowych, logi z zapory czy systemów uwierzytelniania.
• Dowody powinny być opisane w raporcie tak, aby można było odtworzyć ich kontekst, ale bez nadmiernego kopiowania wrażliwych dokumentów.

---

Przykłady dowodów do raportu

W zależności od badanego obszaru audytor może gromadzić m.in.:

• listy obecności ze szkoleń z ochrony danych,
• próbkę (np. 5 losowych) oświadczeń pracowników o zapoznaniu się z procedurą,
• listę użytkowników VPN i konfigurację MFA,
• zestawienie laptopów wraz ze statusem szyfrowania (poparte zrzutami ekranu),
• raport z konsoli AV pokazujący licencje i ostatnie aktualizacje.

📌 Wskazówka praktyczna: dobrym zwyczajem jest odnotowywanie w raporcie, kto przekazał dany dowód i w jaki sposób został on zweryfikowany. To zwiększa wiarygodność audytu.

---

Kryteria oceny – jak klasyfikować wyniki?

W audycie nie chodzi o czarno-białą ocenę. Dlatego stosuje się cztery poziomy oceny, które pozwalają precyzyjniej wskazać problemy i zaplanować działania korygujące.

✔ 1. Zgodność

Wymaganie zostało w pełni spełnione, brak uwag.

👁 2. Obserwacja

Wymaganie zostało spełnione, ale audytor zauważył elementy, które mogą w przyszłości stanowić ryzyko. Nie ma potrzeby natychmiastowych działań, ale warto monitorować.

⚠️ 3. Częściowa niezgodność

Występują błędy lub braki, jednak nie podważają one całkowicie skuteczności systemu zabezpieczeń. Mogą to być np. pojedyncze luki w ewidencji albo nieaktualne fragmenty procedur.

✖ 4. Niezgodność

Wymaganie nie zostało spełnione, a błędy mają charakter istotny lub systemowy. Tu konieczne są pilne działania naprawcze.

---

Dlaczego warto stosować gradację ocen?

• Zarząd lepiej rozumie skalę problemu – łatwiej jest podjąć decyzję, które działania są krytyczne, a które mogą być rozłożone w czasie.
• IOD i administratorzy mogą lepiej planować harmonogram prac naprawczych.
• Powtarzalne audyty pozwalają śledzić poprawę w obszarach wcześniej ocenionych jako „częściowa niezgodność” czy „obserwacja”.

Obszary audytu i przykładowe pytania kontrolne

Każdy audyt powinien obejmować najważniejsze obszary związane z bezpieczeństwem informacji i ochroną danych osobowych. Poniżej znajdziesz kluczowe pola audytu wraz z przykładowymi pytaniami, jakie audytor powinien zadać, oraz rodzajami dowodów, które mogą potwierdzić stan faktyczny.

---

🏠 Praca zdalna

Pytania kontrolne:

• Czy organizacja posiada procedurę pracy zdalnej i czy jest ona znana pracownikom?
• Jakie są wymagania dot. używania urządzeń służbowych i prywatnych podczas pracy zdalnej?
• Czy dostęp zdalny jest chroniony przez VPN i uwierzytelnianie wieloskładnikowe (MFA)?
• Jak szkolono pracowników z zakresu bezpieczeństwa przy pracy zdalnej i czy prowadzone są cykliczne przypomnienia?
• Czy analiza ryzyka obejmuje zagrożenia związane z pracą poza siedzibą?

Dowody:

• polityka pracy zdalnej,
• listy obecności z szkoleń,
• oświadczenia pracowników o zapoznaniu się z procedurami,
• raporty z VPN (lista użytkowników, logi),
• zestawienie laptopów wraz ze statusem szyfrowania.

---

📱 Urządzenia mobilne

Pytania kontrolne:

• Jakie są zasady używania smartfonów, tabletów i laptopów służbowych?
• Czy urządzenia są zabezpieczone PIN-em, hasłem, biometrią i szyfrowaniem?
• Czy organizacja korzysta z systemu MDM (Mobile Device Management)?
• Czy istnieje rejestr wydanych urządzeń i kto odpowiada za jego aktualizację?
• Jak wygląda proces zwrotu lub utylizacji sprzętu?

Dowody:

• procedura zarządzania urządzeniami mobilnymi,
• ewidencja wydanego sprzętu,
• raporty z MDM (status szyfrowania, aktualizacje),
• protokoły zdawczo-odbiorcze przy zakończeniu współpracy.

---

🛡 Ochrona antywirusowa i antymalware

Pytania kontrolne:

• Czy wszystkie urządzenia mają zainstalowane aktualne rozwiązania antywirusowe?
• Jak organizacja nadzoruje konsole centralne AV?
• Czy istnieje procedura reagowania na zagrożenia, których AV nie wykrywa (np. malware typu zero-day)?
• Kto ma możliwość wyłączania antywirusa i jak te działania są rejestrowane?
• Jak wygląda inwentaryzacja licencji i kontrola terminów odnowień?

Dowody:

• polityka bezpieczeństwa IT,
• raporty z konsoli AV,
• dokumentacja reakcji na incydenty,
• listy urządzeń objętych ochroną,
• rejestr licencji.

---

📧 Bezpieczna komunikacja elektroniczna i wymiana plików

Pytania kontrolne:

• Jakie kanały komunikacji są dopuszczone do przesyłania danych wrażliwych?
• Czy pliki przekazywane są w sposób szyfrowany?
• Jak użytkownicy są instruowani w zakresie stosowania bezpiecznych metod wymiany plików (np. szyfrowanie, dedykowane systemy)?
• Jak organizacja nadzoruje przestrzeganie zasad – czy są prowadzone okresowe kontrole?
• Jakie ryzyka zidentyfikowano w tym obszarze i jakie są procedury reakcji (np. naruszenia polegające na wysłaniu danych do niewłaściwego adresata)?

Dowody:

• procedura bezpiecznej komunikacji,
• zapisy szkoleń lub materiałów e-learningowych,
• logi z systemów do przesyłania plików,
• przykłady szyfrowanych wiadomości i archiwów.

---

📌 Dodatkowe obszary często objęte audytem

• Zasada czystego biurka i czystego ekranu – pytania: czy prowadzone są kontrole w tym zakresie, czy pracownicy podpisują oświadczenia, czy istnieją przypomnienia systemowe o blokadzie ekranu?
• Kopie zapasowe – pytania: gdzie są przechowywane, jak długo, kto ma dostęp, czy były testowane przywracania?
• Zarządzanie zmianą i konfiguracją – pytania: czy dokumentowane są zmiany w systemach, kto je zatwierdza, czy są testy przed wdrożeniem?
• Skanowanie podatności – pytania: jak często wykonywane są testy, kto je zleca, jakie są kryteria reagowania?

Przykłady praktyczne z audytów i jak formułować rekomendacje

Teoretyczne zasady audytu stają się naprawdę wartościowe dopiero wtedy, gdy zobaczymy je w praktyce. Dlatego poniżej znajdziesz dwa przykłady (kazusy), które pokazują, jak audytor formułuje ustalenia, oceny i zalecenia naprawcze.

---

🏠 Przykład 1: Praca zdalna w spółce „NordFab”

Stan faktyczny:
Spółka produkcyjna zatrudniająca 120 osób, z czego 45 pracuje zdalnie. Firma posiada politykę pracy zdalnej, ale ostatnia aktualizacja była 18 miesięcy temu.

Ustalenia audytu:

• Szkolenia z pracy zdalnej odbyły się 2 lata temu; nowi pracownicy podpisują jedynie oświadczenia o zapoznaniu się z procedurą.
• W ewidencji brak potwierdzeń szyfrowania dla 12 laptopów.
• Brak jednoznacznej listy „dopuszczonych chmur” do przechowywania plików służbowych.

Ocena:

• ⚠️ Częściowa niezgodność – niepełna ewidencja szyfrowania + polityka nieaktualna.
• 👁 Obserwacja – szkolenia: konieczność przypominania co 12 miesięcy.

Rekomendacje i terminy:

• Aktualizacja polityki pracy zdalnej w ciągu 30 dni,
• Wdrożenie centralnego raportu MDM potwierdzającego szyfrowanie dysków – w ciągu 14 dni,
• Szkolenie e-learningowe dla wszystkich pracowników, także tych nowych – w ciągu 60 dni,
• Wprowadzenie listy zatwierdzonych usług chmurowych + konfiguracja DLP – w ciągu 90 dni.

---

📱 Przykład 2: Urządzenia mobilne w firmie „ClinTech24”

Stan faktyczny:
Start-up medtech zatrudniający 50 osób. Część menedżerów korzysta z prywatnych telefonów (BYOD) do obsługi poczty i aplikacji służbowych.

Ustalenia audytu:

• Brak formalnej polityki BYOD, brak MDM i wymagań dot. szyfrowania urządzeń prywatnych.
• System antywirusowy zainstalowany, ale konsola centralna nie jest regularnie monitorowana – alerty mogą pozostawać niezauważone.

Ocena:

• ✖ Niezgodność – brak polityki BYOD i oceny ryzyka dla urządzeń mobilnych (dane medyczne są szczególnie wrażliwe).
• ⚠️ Częściowa niezgodność – brak nadzoru nad konsolą AV.

Rekomendacje:

• Wdrożenie systemu MDM i obowiązkowych zabezpieczeń (PIN, szyfrowanie, możliwość zdalnego wymazania) – 30 dni,
• Opracowanie i wdrożenie polityki BYOD wraz z kryteriami dopuszczenia urządzeń – 45 dni,
• Wprowadzenie procedury monitorowania alertów AV z określonym SLA (np. 24h) – 14 dni.

---

Jak prawidłowo formułować rekomendacje?

Dobra rekomendacja powinna być:

• konkretna – wskazuje dokładne działanie (np. „wprowadzenie MDM i raportowania szyfrowania dysków”),
• mierzalna – można sprawdzić, czy została wdrożona (np. raport MDM z listą szyfrowanych urządzeń),
• realna – dopasowana do zasobów organizacji (nie zalecamy wprowadzenia systemu klasy enterprise w mikrofirmie),
• terminowa – zawiera deadline i priorytet (np. „14 dni” dla działań krytycznych, „90 dni” dla długofalowych).

📌 Wskazówka praktyczna: rekomendacje warto grupować według priorytetów – np. „pilne (do 14 dni)”, „krótkoterminowe (do 60 dni)” i „długoterminowe (do 6 miesięcy)”. Ułatwia to zarządowi planowanie budżetu i zasobów.

Rola IOD, standardy bezpieczeństwa i raport z audytu

Audyt zgodności zabezpieczeń organizacyjnych to nie tylko narzędzie dla działu IT – kluczową rolę pełni tu Inspektor Ochrony Danych (IOD), a także odniesienia do międzynarodowych standardów i nowych regulacji sektorowych. Ostatecznym produktem audytu jest raport, który musi być użyteczny dla zarządu i możliwy do wykorzystania w działaniach naprawczych.

---

📌 Rola Inspektora Ochrony Danych (IOD)

Zgodnie z art. 39 RODO, do zadań IOD należy m.in.:

• monitorowanie przestrzegania przepisów RODO i polityk ochrony danych,
• prowadzenie szkoleń i zwiększanie świadomości w organizacji,
• doradzanie administratorowi i podmiotowi przetwarzającemu,
• prowadzenie audytów wewnętrznych w obszarze ochrony danych,
• współpraca z organem nadzorczym (UODO).

W praktyce oznacza to, że IOD powinien:

• inicjować audyty tematyczne (np. praca zdalna, BYOD, incydenty),
• weryfikować zgodność polityk i procedur z przepisami i stanem faktycznym,
• przygotowywać raporty i przedstawiać je zarządowi w sposób zrozumiały dla osób nietechnicznych.

---

📚 Standardy i regulacje wspierające audyt

ISO/IEC 27001

• Norma wskazuje szereg kontroli bezpieczeństwa, które mogą być bezpośrednio sprawdzane w audycie (np. praca zdalna, kontrola dostępu, zarządzanie incydentami, ochrona urządzeń mobilnych).
• Użycie ISO ułatwia harmonizację – polityki mogą być pisane w języku zbieżnym z kontrolami normy.

NIS2

• Dotyczy operatorów usług kluczowych i ważnych, nakładając m.in. obowiązek zarządzania ryzykiem, prowadzenia planów ciągłości działania i raportowania incydentów.
• W audycie warto sprawdzić, czy firma oceniła dostawców ICT i czy ma procedurę notyfikacji incydentów.

DORA

• Regulacja unijna obejmująca sektor finansowy, skupia się na odporności operacyjnej systemów ICT.
• W audycie w tym sektorze konieczne jest sprawdzenie: polityki zarządzania ryzykiem dostawców, zapisów w umowach, testowania odporności systemów oraz klasyfikacji incydentów.

---

📝 Raport z audytu – jak go przygotować?

Dobry raport to nie „suchy protokół”, ale narzędzie dla zarządu i działów operacyjnych. Powinien być zrozumiały, przejrzysty i praktyczny.

Struktura raportu

1. Informacje wstępne
   • cel, zakres, metodologia, daty, osoby zaangażowane.
2. Opis środowiska
   • charakterystyka systemów, usług i procesów związanych z przetwarzaniem danych.
3. Ustalenia szczegółowe
   • dla każdego obszaru: wymaganie → stan faktyczny → dowody → ocena (zgodność, obserwacja, częściowa niezgodność, niezgodność) → ryzyko → rekomendacja.
4. Podsumowanie ryzyka
   • np. w formie macierzy ryzyka z priorytetami (wysokie/średnie/niskie).
5. Plan działań naprawczych
   • kto, co, kiedy (z terminami i wskaźnikami skuteczności, np. „% szyfrowanych laptopów do 30 dni”).
6. Załączniki
   • listy kontrolne, zestawienia dokumentów, próbki ewidencji (bez konieczności kopiowania całych dokumentów wrażliwych).

---

Najczęstsze błędy w raportowaniu audytu

• Zbyt ogólne sformułowania („należy poprawić politykę bezpieczeństwa”) zamiast konkretów.
• Brak priorytetów i terminów – zarząd nie wie, które działania są krytyczne.
• Przekopiowywanie całych dokumentów wrażliwych jako załączników – ryzyko wycieku.
• Zbyt techniczny język niezrozumiały dla zarządu – raport powinien być „mostem” między IT, IOD i zarządem.

Podsumowanie audytu zgodności zabezpieczeń organizacyjnych IT
Audyt zabezpieczeń organizacyjnych IT to praktyczne narzędzie do zarządzania ryzykiem i zgodnością. W połączeniu z wymaganiami RODO, NIS2, DORA czy ISO/IEC 27001 staje się fundamentem budowania odporności cyfrowej organizacji.
👉 Najważniejsze wnioski:
Audyt to nie kontrola „dla papieru” – musi badać praktykę, a nie tylko dokumenty.
Kluczowe są dowody zgodności: szkolenia, oświadczenia, raporty z systemów, logi, zrzuty ekranu.
Oceny powinny być różnicowane (zgodność, obserwacja, częściowa niezgodność, niezgodność) – tylko wtedy zarząd rozumie skalę problemów.
Raport musi być konkretny, zrozumiały i praktyczny – z terminami działań, priorytetami i odpowiedzialnymi osobami.
IOD pełni rolę koordynatora i strażnika zgodności, ale skuteczny audyt wymaga współpracy IT, HR, zarządu i użytkowników.

Podstawa prawna
art. 39 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – zadania Inspektora Ochrony Danych.
art. 67^26 – Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. 1974 nr 24 poz. 141 ze zm.) – obowiązki pracodawcy i pracownika przy pracy zdalnej:
„§ 1. Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.
§ 2. Pracownik wykonujący pracę zdalną potwierdza w postaci papierowej lub elektronicznej zapoznanie się z procedurami, o których mowa w § 1, oraz jest obowiązany do ich przestrzegania.”

Tematy porad zawartych w poradniku
audyt RODO zabezpieczenia IT 2025
praca zdalna ochrona danych osobowych
polityka bezpieczeństwa IT ISO 27001
NIS2 wymagania dla firm
DORA sektor finansowy cyberbezpieczeństwo

Przydatne adresy urzędowe
Urząd Ochrony Danych Osobowych: https://uodo.gov.pl
Kodeks pracy (tekst jednolity): https://www.gov.pl/web/rodzina/kodeks-pracy
Agencja ENISA – materiały o NIS2: https://www.enisa.europa.eu
ESMA – informacje o regulacjach DORA: https://www.esma.europa.eu
EBA – wsparcie dla instytucji finansowych (DORA): https://www.eba.europa.eu