Audyt zgodności z RODO

Audyt bezpieczeństwa danych osobowych.

Jest się czego bać, jestem przygotowany, czego jeszcze mi brakuje, żeby spełnić wymagania RODO?”, „Po co mi audyt?” – takie i inne pytania zadają sobie teraz pewnie tysiące administratorów danych osobowych.  Bo przecież jakiego medium teraz nie posłuchać, nie obejrzeć, nie przeczytać – wszędzie jest mowa o nadchodzących zmianach. Nawet osoby wcześniej tematyką niezainteresowane dostrzegają, że jesteśmy w gorącym okresie przejściowym, że coś się istotnie
w ochronie danych osobowych zmieni.
A przecież dla wielu przedsiębiorstw informacje, w szczególności dane osobowe, które wykorzystują, to główny zasób i aktywo, często będące podstawą funkcjonowania, źródłem zysku.

Dla tych wszystkich szczególnie istotne będzie spełnienie, wynikającej z RODO zasady rozliczalności. Zgodnie z zasadą rozliczalności administrator danych musi umieć wykazać przestrzeganie wymagań rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Jak tego dokonać?  Po pierwsze poznać stan wyjściowy i wymagania do zrealizowania, czyli przeprowadzić audyt zgodności.

Po co mi audyt?

E tam – straszą tylko naciągaczemoże damy radę sami ?” Takie głosy, niestety często poparte negatywnymi doświadczeniami właścicieli firm też da się usłyszeć. Mówią tak Ci, którzy stali się kiedyś ofiarą „wysoce wyspecjalizowanych firm” – aktualnie brylujących we „wdrożeniach RODO”. Są jednak „wdrożenia” i wdrożenia, są „audyty” i audyty – dziś o tych
z prawdziwego zdarzenia. O tych, które mogą być wartością dodaną dla przedsiębiorstwa, które „żyje” z danych osobowych. Dobrze przeprowadzony audyt zgodności z RODO pozwoli, po pierwsze, poznać stan wyjściowy, uniknąć wyważania być może już otwartych drzwi, wykorzystać mechanizmy, zasady postępowania, które i tak już w organizacji funkcjonują i wymagają może niewielkiej tylko modyfikacji. Po drugie, realizowany przez praktyków audyt pozwoli otworzyć oczy administratorowi danych na ryzyka – w tym przypadku, te które wiążą się z realizowanymi przez niego procesami przetwarzania danych osobowych.

Zagrożenia widziane nie tylko z jego perspektywy, ale również w kontekście ryzyk dla osób, których dane dotyczą, bo o tych też mówi RODO. I to materializacja tych właśnie ryzyk może być dla administratora danych kosztowna. Audyt, a właściwie płynące
z niego wnioski i działania doskonalące pozwolą redukować stwierdzone ryzyka.
Po trzecie wreszcie, ale nie ostatnie przeprowadzenie audytu pozwoli przygotować się do przewidzianego w art. 42 RODO mechanizmu certyfikacji. Bo przecież, kryteria certyfikacji, które zgodnie aktualnym brzmieniem projektu  ustawy o ochronie danych osobowych (marzec 2018) zatwierdzać będzie przyszły Prezes Urzędu Ochrony Danych, nie będą pewnie bardzo odbiegać od zasad prowadzenia audytu SZBI opartego na normach serii ISO/IEC 27000.

Dobre przygotowanie firmy do procesu certyfikacji może skrócić czas potrzebny na uzyskanie certyfikatu i uniknąć przykrych niespodzianek (problemów ze spełnieniem wymogów umożliwiających jego zdobycie).

Audyt nie kontrola – poprowadzi za rękę.

Czego zatem wymagać od dobrego audytu? Po pierwsze nie tylko wytknięcia błędów. Przeprowadzony w pełnym zakresie audyt zgodności z RODO powinien zawierać kilka kluczowych elementów, które wykonane krok po kroku, pozwolą przygotować procesy przetwarzania danych osobowych w organizacji do nowej rzeczywistości.

Jakie to elementy?

Audyt wstępny/zerowy.

Ten etap pozwoli poznać faktyczne potrzeby organizacji konieczne dla zapewnienia bezpieczeństwa informacji. Umożliwi określenie sytuacji wyjściowej, bazy, na której budować można będzie kolejne mechanizmy kontrolne, przeciwdziałające zidentyfikowanym ryzykom utraty atrybutów danych osobowych. Właściwe przeanalizowanie procesów przetwarzania pod kątem wymagań prawnych będzie warunkiem powodzenia dalszych etapów audytu.

Po drugie – inwentaryzacja.

I nie chodzi tu tylko o zbiory danych osobowych przetwarzanych przez administratora. Etap identyfikacji, który ma pomóc przygotować się do RODO, powinien obejmować
w szczególności zbiór aktywów informacyjnych i środków służących „obróbce” danych osobowych we wszystkich procesach przetwarzania, niezależnie od kategorii danych oraz formy przetwarzania. To właśnie na tym etapie szczególnie przydatne może okazać się spojrzenie na organizację
z odpowiedniej perspektywy (naszych dostawców, odbiorców usług) oraz praktyków posiadających doświadczenie w audytowanym obszarze. Właściwe zidentyfikowane
i sklasyfikowanie aktywów oraz ich podatności będzie niezbędne do procesu szacowania ryzyka – a przecież to właśnie podejścia opartego na ryzyku wymaga od nas RODO.

Ocena kluczowym etapem.

Ustalenia poczynione w ramach początkowych etapów będą punktem wyjścia dla etapu kluczowego. Jest nim ocena zgodności postępowania organizacji z zasadami ochrony danych jakie wymaga od nas RODO. To po tym, najbardziej rozbudowanym etapie, powinnyśmy poznać, czy dane, które zbieramy są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Uzyskamy też odpowiedź na pytanie, ile jeszcze brakuje organizacji do pełnej merytorycznej poprawności i prawidłowości zbieranych danych.

Prawie na pewno okaże się, że część danych, które nadal przetwarzamy nie koniecznie spełnia zasadę czasowego ograniczenia przetwarzania. Weryfikacja podstaw prawnych działań, celów i zakresu przetwarzania pozwoli ocenić kompletność między innymi: stosowanych klauzul umownych ze stronami trzecimi, klauzul informacyjnych, czy oświadczeń zgody na przetwarzanie. Żeby spełnić w/w zasady przetwarzania danych osobowych konieczne jest zastosowanie właściwych środków organizacyjnych
i technicznych służących utrzymaniu atrybutów danych osobowych.

To właśnie ich ocena, zarówno pod kątem bezpieczeństwa systemów informatycznych jak i świadomości, wiedzy oraz poziomu przestrzegania przez pracowników zasad ochrony danych osobowych pozwoli wskazać konieczne do doskonalenia obszary bezpieczeństwa. Nie wolno przecież zapominać, że to niestety człowiek jest często najsłabszym ogniwem całego procesu.

Co będzie efektem dobrze przeprowadzonego audytu?

 Dopasowany i odpowiadający potrzebom organizacji raport końcowy. W raporcie takim powinny znaleźć się nie tylko błędy i niedoskonałości systemu ale również zalecenia, wskazówki i wytyczne dotyczące dalszego postępowania zmierzającego do usunięcia stwierdzonych nieprawidłowości. To właśnie szczegółowy audyt wykaże czy zasadne będzie powołanie inspektora ochrony danych oraz przeprowadzenie oceny skutków dla ochrony danych. Po drugie audyt wykaże jakie jeszcze organizacja musi podjąć niezbędne czynności w celu wdrożenia RODO. W szczególności istotny będzie kontekst zidentyfikowanych w ramach audytu ryzyk. Ryzyk, których skutki, sam GIODO, w swoich poradnikach, zaleca oceniać również pod kątem wysokości ewentualnych kar finansowych jakie będzie mógł nałożyć przyszły PUOD.

To chyba argument nie do przecenienia w dyskusji czy warto „zainwestować”
w konkretny i dopasowany do organizacji audyt zgodności z RODO. I może nie warto zwlekać, bo wraz z upływem czasu prawdopodobieństwo materializacji ryzyk będzie jednak wzrastać. Tak jak wzrasta świadomość wartości danych osobowych – „nowego paliwa gospodarki”.

 Zachęcamy również do lektury #KierunekRODO.

Może Ci się również spodoba