Kaizen, czyli może być lepiej
Audyt – zgodnie z zasadą ciągłego ulepszania (japońska filozofia biznesowa Kaizen, czy np. tzw. cykl Deminga czyli „zaplanuj, wykonaj, zbadaj, zastosuj”) – jest szansą na ulepszenie, poprawę wydajności, a co za tym idzie – na zwiększenie zysków. Poniesione koszty (czas, pieniądze) mogą się wielokrotnie zwrócić. Nie chodzi tylko o pochwalenie się zdjęciem certyfikatu na stronie czy ładnie oprawionym certyfikatem na ścianie w gabinecie. Chodzi o jakościowe zmiany w procesach, również w procesach RODO.
Czy audyt RODO to konieczność?
Żyjemy w czasie gwałtownych przemian i szybko rozwijających się technologii (w tym informatycznych) informacje, w tym dane osobowe osiągnęły niezwykłą wartość („data is new oil”!). W obliczu tych okoliczności zapewnienie klientowi możliwie najlepszego bezpieczeństwa wydaje się być truizmem.
Jeśli dotąd nie podjęliśmy żadnych kroków w celu realizacji funkcjonujących przepisów, audyt zgodności z RODO będzie niezbędny. Konieczna jest bowiem inwentaryzacja zasobów, czyli weryfikacja jakie dane, gdzie i w jaki sposób są przetwarzane (powstaje tzw. Rejestr czynności i/lub rejestr kategorii przetwarzania), które następnie należy poddać analizie zgodnie z zasadą podejścia opartego na ryzyku. Ok, nieważne czy zrobiliśmy to z zapałem i zrozumieniem, czy wyłącznie jako przykry obowiązek – przyjmijmy, że zastosowaliśmy się już do przepisów.
Audyt zgodności z regulacjami RODO stanowi obowiązek ustawowy
Audyt RODO jako środek zapewniający adekwatne bezpieczeństwo danych osobowych
W pierwszym rzędzie jest to weryfikacja, czy podmiot przetwarzający, któremu powierzyliśmy dane spełnia kryteria bezpiecznego usługodawcy. W art. 28, p. 3 lit. h) RODO zaznaczono, że umowa powierzenia powinna obligować podmiot przetwarzający do umożliwienia „administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów”. Jeśli wykonujesz operacje przetwarzania w imieniu i na polecenie administratora – Twoje przedsiębiorstwo może stać się przedmiotem takiego audytu. Kolejną sytuacją uregulowaną za pomocą RODO są audyty, które powinien przeprowadzać Inspektor Ochrony Danych Osobowych powołany przez administratora danych. Art. 39 p. 1 lit. b) RODO stanowi bowiem, że do zadań IOD należy m.in „monitorowanie przestrzegania […] rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia RODO personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Przeprowadzanie audytów w zakresie ochrony danych zostało też wskazane jako jeden z „mechanizmów zapewniających weryfikację przestrzegania wiążących reguł korporacyjnych” (art. 47 p. 2 lit. j) RODO).
Audyt RODO jako element przeglądu zabezpieczeń
Być może zastanawiasz się, czy jeśli jednak nie korzystasz z usług, w których dochodzi do powierzania danych, nie powołałeś Inspektora Ochrony Danych, Twoja firma nie jest też członkiem grupy przedsiębiorstw, które przyjęły wiążące reguły korporacyjne – czy również musisz wykonywać audyty ochrony danych osobowych?
Po raz kolejny – tak. Wynika to z przepisu art. 24 p. 1 RODO, zgodnie z którym administrator, „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych […], wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem […]. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Biorąc pod uwagę nieustające zmiany technologiczne i zmiany w przepisach, taka potrzeba zachodzi niemal nieustannie.
Audyt audytowi nie równy
Mamy więc dwie sytuacje. Pierwsza, nazwijmy to wstępnym audytem RODO, dotyczy podmiotu, który dopiero chce wdrożyć system zarządzania bezpieczeństwem danych osobowych. Taki audyt pomoże nam zaprojektować system adekwatny do charakteru naszego przedsiębiorstwa. Druga natomiast to okresowe audyty ochrony danych osobowych w firmie, które mają na celu poprawę i dostosowanie istniejącego systemu bezpieczeństwa.
Wiemy już, że przeprowadzanie audytów zgodności w zakresie bezpieczeństwa danych osobowych to konieczność. Ale jak go przeprowadzić?
Podczas wstępnego audyty RODO należy:
- zidentyfikować czynności (procesy), które wiążą się z przetwarzaniem danych osobowych
- w ramach każdej czynności należy następnie określić cele przetwarzania, podstawy prawne, aktywa wykorzystywane w procesie przetwarzania (m.in. rodzaje dokumentacji, oprogramowanie, kategorie osób, których dane wykorzystujemy, rodzaje przetwarzanych danych) i szereg innych informacji o przetwarzaniu, które będą niezbędne do wykonania analizy ryzyka (m.in. czy dla każdej czynności spełnione są obowiązki wynikające z przepisów prawa)
- przeprowadzić analizę, podczas której zostaną poddane weryfikacji istniejące zabezpieczenia (określenie zagrożeń, podatności, wymagań prawnych i ustalenie koniecznych środków bezpieczeństwa)
- przygotować listę i plan działań naprawczych.
Audyty zgodności RODO prowadzone już w trakcie przetwarzania (funkcjonowania systemu bezpieczeństwa) będą polegały na weryfikowaniu i aktualizowaniu informacji zebranych podczas realizacji pierwszych trzech z powyższych punktów, by przygotować nową listę i plan działań naprawczych.
Przeprowadzenie audytu zgodności z RODO powinno zostać potwierdzone raportem zawierającym kryteria, na których opierał się podmiot audytujący (podstawy w przepisach prawa) i ocenę spełnienia tych kryteriów (zgodność/niezgodność). Na podstawie takiego raportu należy następnie przygotować plan działań naprawczych i harmonogram ich realizacji.
Oczywiście metod przeprowadzania audytów jest wiele, dla każdej organizacji będą się one różnić. Można go przeprowadzić z wykorzystaniem własnych zasobów lub korzystając z firmy zewnętrznej. Warto jednak pamiętać, że audytowanie systemów wdrożonych przez siebie samego jest niezalecane z uwagi na brak możliwości obiektywnej oceny.
