Publikacja porusza istotę audytu bezpieczeństwa w pracy i obowiązkach Inspektora Ochrony Danych Osobowych.

Artykuł został podzielony na III bloki tematyczne:

• Zadania Inspektora Ochrony Danych Osobowych wynikające z RODO a związane z audytem bezpieczeństwa,
• Podstawy audytu, przepisy jako kryteria – zbiory wymagań,
• Fazy audytu a RODO, dobre praktyki i zasady realizacji audytu.

Jednym z obszarów odpowiedzialności Inspektora Ochrony Danych Osobowych jest audyt, co określa art. 39:

,,Art. 39 Zadania inspektora ochrony danych
1. Inspektor ochrony danych ma następujące zadania:
(…)
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora, lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.’’

Mimo pozornie prostego zadania związanego z audytem w obszarze ochrony danych osobowych napotyka się pewne trudności. Wynikają one z innego podejścia zastosowanego w RODO w stosunku do dotychczasowego podejścia w Polsce do ochrony danych osobowych. RODO co do zasady nie wymaga konkretnych dokumentów czy procedur. Poza niewielkimi wyjątkami, ale nawet one są fakultatywne, zależne od wielkości organizacji i rodzaju operacji przetwarzania. Jedyny dokument to opis naruszenia ochrony danych, który ma opisaną zawartość.

Jak w takim razie poradzić sobie z określeniem precyzyjnych wymagań, do których będziemy audytować?

Na początek musimy mieć wykaz kryteriów w postaci aktów prawnych. Kryterium w słowniku audytora to zbiór wymagań. Mogą to być przepisy prawa na różnym szczeblu, jak również polityki organizacji, procedury nakazujące konkretne działanie czy stosowanie zabezpieczeń. Poza RODO mamy jednak jeszcze szereg przepisów branżowych, w których mogą pojawiać się konkretne rozwiązania czy to organizacyjne, czy techniczne, które musimy wdrożyć. Z pewnością pomocne okaże się posiadanie takiego wykresu jako swoistą mapę wymagań.

Przed każdym audytem MUSIMY być pewni, że pracujemy na AKTUALNYCH wymaganiach!

Zasada dobrej praktyki:
Aby zrealizować tę zasadę, możemy przyjąć różne podejścia:

1. Okresowe przeglądy aktualności aktów prawnych, polityk, instrukcji. Pamiętając, by po takim przeglądzie pojawiła się informacja o tym, kiedy dokonano ostatniego przeglądu oraz kto go dokonał.
2. Monitorowanie zmian. O ile w przypadku aktów prawnych możemy skorzystać z rozwiązań nawet od początku procesu legislacyjnego, o tyle problematyczne staje się monitorowanie wewnętrznych aktów. Do przepisów prawa sprawdzi się strona: legislacja.gov.pl i utworzenie konta lub skorzystanie z różnych ofert dostawców systemów prawnych. Abonamenty są coraz niższe, a dzięki temu będziemy mieć spokój, że pracujemy na aktualnym stanie prawnym. Natomiast tzw. wewnętrzna legislacja, czyli polityki i instrukcje bywają nieco bardziej problematyczne do monitorowania, ze względu na wymóg skutecznego wdrożenia systemów wspierających IT, obejmujących instrukcje, procedury i polityki.

Mając już wykaz kryteriów w postaci przepisów prawnych, polityk oraz instrukcji możemy przejść do działania. Każdy audyt co do zasady składa się z dwóch podstawowych faz i w odniesieniu do RODO warto również tego przestrzegać:

• Faza I – to analiza dokumentacji,
• Faza II – to działania w “miejscu realizacji”, czyli praktyczne sprawdzenie, czy zapisane w polityce, procedurach czy innych dokumentach rozwiązania techniczne i organizacyjne są rzeczywiście realizowane.

W tym miejscu należy pamiętać, że AUDYT JEST POSZUKIWANIEM ZGODNOŚCI. Nie powinno się szukać PROBLEMÓW, czy NIEZGODNOŚCI. Audytor (IOD) nie powinien być nastawiony negatywnie. Powinien zrozumieć podejście organizacji, ocenić czy wdrożone działania są zgodne.

Warto przy opisie systemu korzystać z rozwiązań znanych już od lat w zarządzaniu bezpieczeństwem informacji, którym jest deklaracja stosowania. Jest to dokument, w którym wskazujemy, w jaki sposób realizowane są zabezpieczenia określone w normie ISO 27001. W odniesieniu do RODO, korzystając z tej struktury, można wykazać stosowanie przepisów.

Przykład:

Zgodnie z art. 32 administrator wdraża techniczne i organizacyjne środki mające na celu zminimalizować ryzyko między innymi zniszczenia danych. Dodatkowo art. 30 wymaga (po spełnieniu wymagań prawnych) od administratora oraz procesora prowadzenia rejestrów, odpowiednio przetwarzania i kategorii przetwarzania danych osobowych. Jednym z obszarów informacji zawartych w rejestrach są “o ile to możliwe” (cytat z przepisu) techniczne i organizacyjne środki ochrony.
Zamiast opisywać te środki dokładnie, można odesłać do dokumentów funkcjonujących w organizacji wykazując, że środki chroniące przed zniszczeniem i kradzieżą zostały opisane w planie (instrukcji) ochrony fizycznej oraz w instrukcji bezpieczeństwa pożarowego.

Dzięki takiemu podejściu “deklaracja stosowania RODO staje się przewodnikiem po wdrożonych już w organizacji środkach organizacyjnych i technicznych, a audytorowi pozostaje:

• W fazie I – sprawdzenie, czy dane osobowe przetwarzane w tym przechowywane zostały wzięte pod uwagę w dokumentach,
• W fazie II – sprawdzenie w rzeczywistości czy środki te są stosowane.

Obiektywnie rzecz biorąc każdy Inspektor Ochrony Danych Osobowych powinien posiadać umiejętności przeprowadzania Audytów Bezpieczeństwa.