W PIERWSZEJ KOLEJNOŚCI ZADAJMY SOBIE PYTANIE CZYM JEST audyt?
Według definicji ISO, audyt to:
,,Systematyczny, niezależny i udokumentowany proces uzyskiwania obiektywnego dowodu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu. ‘’
Na naszych szkoleniach stosujemy własną, wypracowaną na podstawie 20 letniego doświadczenia definicję:
,,Ocena zaprojektowanego i wdrożonego systemu z wymaganiami.‘
Poniżej kilka definicji związanych z audytem:
- Kryterium: zbiór wymagań w audycie. Mogą to być przepisy prawa np. RODO, Ustawa o ochronie danych, ale też umowa (do audytu strony drugiej), polityka, procedura. I wszystkie inne dokumenty zawierające wymagania.
- Wymagania: niestety w branży audytorskiej nie dopracowaliśmy się dość jasnej i jednolitej definicji. Wymaganiem jest jednak to co powinno być zrobione, istnieć itp. Np. działanie pracownika. Dokument z tego działania. Podejmowany projekt (np. analiza ryzyka).
- Zleceniodawca audytu: osoba zlecająca audyt. Administrator dla procesora, czy Prezes Urzędu Ochrony Danych Osobowych w stosunku do audytów administratorów.
Podział w oparciu, o który prowadzimy szkolenia oraz który jest podstawą niniejszego artykułu, jest podziałem znanym globalnie, wynikającym z globalnie stosowanej normy ISO 19011. Warto dodać, że norma ta jest “prekursorem” normy ISO 2700 Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem informacji.
Rodzaje audytów i ich nazwy handlowe i branżowe
Mniej więcej od 12-15 lat trwa w Polsce moda na nazywanie audytem wszystkiego. Podobno dzięki temu kwota w ofercie jest wyższa o 15-30%. Ale czy wszystko jest audytem? W Metodyce Audytu Bezpieczeństwa wydawanej przez Instytut Bezpieczeństwa, która jest podstawą naszych szkoleń, opisane są trzy podstawowe rodzaje audytu (poza podstawową klasyfikacją, podaną wcześniej).
Audyt wdrożeniowy
- Cel audytu: ocena stopnia wdrożenia systemu zarządzania ochroną danych osobowych w organizacji;
- Kryteria audytu: Polityki bezpieczeństwa, instrukcje, procedury, składające się na system zarządzania (system RODO, system ochrony danych osobowych itp.);
- Rodzaj audytu / wykonawca: wewnętrzny (rzadziej strony drugiej), manager ochrony danych, IOD (lub na jego zlecenie).
Dlaczego rzadziej audyt taki będzie audytem strony drugiej, a nie nigdy? Otóż czasem zdarza się on w tzw. grupach kapitałowych czy grupach przedsiębiorstw. W takich przypadkach zlecającym audyt będzie firma “matka”, a audytowanym – spółka „córka”. Nie jest to wtedy klasyczny audyt strony drugiej, w którym oceniamy naszego partnera biznesowego na zgodność z naszymi wymaganiami (czyli na ile jego działania są zgodne z tym, czego my potrzebujemy). Częściej celem takiego audytu jest sprawdzenie ogólnie wdrożenia systemów autonomicznych w danej organizacji. Wspomniane wyżej audyty etyczne, czy audyty ubezpieczeniowe w oddziałach firm, które mają autonomię.
Ważne: audyt wdrożeniowy powinien być wykonany PO WDROŻENIU systemu oraz po wstępnym okresie funkcjonowania. Oznacza to, że zatwierdzenie dokumentacji przez właściwą osobę nie jest jeszcze tym etapem, na którym możemy już realizować ocenę. System po prostu musi chwilę podziałać. Muszą zostać nadane uprawnienia, obsłużone incydenty, etc. W przeciwnym razie zrealizowany zostanie: Audyt wiedzy o systemie lub konkurs wiedzy o systemie.
Audyt zgodności
- Cel audytu: ocena stopnia zgodności prowadzonych działań ze wskazanym kryterium;
- Kryteria audytu: Wskazane w zleceniu audytu. Może być to zarówno umowa powierzenia, audyt zgodności naszego całego systemu RODO z RODO, Ustawą i innymi przepisami sektorowymi. Uwaga – kryterium może być też szacowanie i ocena ryzyka (będzie to wstęp do audytu bezpieczeństwa);
- Rodzaj audytu / wykonawca: strony pierwszej, strony drugiej i strony trzeciej (wszystkie rodzaje), zależnie od zleceniodawcy.
Ważne: audyt zgodności może w sobie zawierać audyt wdrożeniowy.
Audyt RODO
Przejdźmy teraz do istoty dzisiejszego artykułu. Audyt RODO może być wykonany zależnie od celu jako audyt wdrożeniowy, audyt zgodnościowy, audyt bezpieczeństwa danych osobowych lub jako audyt RODO. Tym się dziś zajmiemy.
Audyt RODO będzie obejmował:
- Działania opisane dla audytu zgodności, w zakresie identyfikacji regulacji prawnych i dostarczenia dowodu ich stosowania;
- Działania opisane dla audytu bezpieczeństwa, w zakresie identyfikacji zagrożeń i ryzyk, wdrożenia środków ochrony oraz ich skuteczności.
W przypadku audytu RODO, informacje z audytu wdrożeniowego jest częścią studium wykonalności audytu, czyli działaniem przed audytowym niebędącym etapem audytu właściwego. Brak informacji o wdrożeniu systemu ochrony danych osobowych blokuje praktycznie możliwość realizacji audytu RODO. Poddane ocenie mogą być tylko dokumenty na zgodność ze wskazanymi kryteriami prawnymi, bo tak naprawdę tylko tym materiałem badawczym dysponować będą audytorzy.
Poprawne wykonanie – co oceniamy?
Nie wchodząc za bardzo w techniczne kwestie doboru metod i form audytu, poniżej przedstawimy typowe działania związane z wdrożeniem RODO. Przy każdym etapie opiszemy skrótowo obszar audytu zgodności i audytu bezpieczeństwa. Z racji objętości artykuły, wybierzemy tylko kilka z nich.
WAŻNE: audyt nie jest częścią projektowania systemu, a więc działań identyfikujących.
Cel audytu RODO: ocena skuteczności systemu ochrony danych osobowych w zapewnieniu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.
Uszczegółowienie celu: ocena realizacji zasad fundamentalnych RODO, zawartych w art. 5. RODO.
Uzasadnienie do takiego doboru celu dla audytu RODO
RODO ma swoją określoną konstrukcję, zbliżoną do konstrukcji znanych z systemów zarządzania bezpieczeństwem. Oznacza to, że w podstawowym dokumencie o charakterze wyznaczenia celów i zakresu systemu zawarte są podstawowe zasady. Te zasady znajdziemy w RODO w art. 5 ust. 1. Rozwijane są dalej, w kolejnych rozdziałach i artykułach RODO, z rozwinięciem metod, zasad i form działania wymaganych jako niezbędne i minimalne. Niemniej cały audyt, obejmujący ocenę jednostkowych wymagań zawartych w przepisach RODO odnosimy do spełnienia wymagań z art 5.1. RODO.
Zgodność z prawem
Zgodność z prawem jest jedną z trzech zasad, opisanych w art 5.1.a RODO. Jej rozwinięcie znajduje się w art. 6 – 11 RODO. Aby ocenić zgodność przetwarzania z prawem oraz skuteczność systemu zarówno na dzień audytu jak i na przyszłość. Jest to celem audytu, ponieważ skuteczność nie jest rozumiana jako stan na dziś. RODO wymaga od administratorów spełnienia wymagań ZAWSZE w trakcie przetwarzania danych osobowych.
Dowody z audytu: zapisy wskazujące na sposób przypisania przesłanek przetwarzania i ich wyboru (art 6). Zapisy wskazujące na ocenę prawidłowości zastosowania przesłanki.
Przykład:
Zastosowanie przesłanki z 6.1.f: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, wymaga oceny nazywanej często testem równowagi. Nie do końca to jest prawidłowa nazwa, ponieważ ocena ta jest dużo szersza i obejmuje:
- Ocenę celu administratora – czy naprawdę interes jest prawnie uzasadniony (w tej ocenie należy pamiętać, że nie tylko cele realizowane przez administratora, ale też i przez stronę trzecią);
- Ocenę konieczności – czy naprawdę te dane muszą być do tego celu przetwarzane? Czy nie da się osiągnąć tego celu w inny sposób?
- Ocenę równowagi (właściwy test równowagi) – jakie są interesy administratora w tym przetwarzaniu oraz jakie są interesy po stronie osoby, której dane są przetwarzane (w RODO mówimy też o prawach osoby) oraz jakie wolności mogą być naruszone. Wynikiem testu jest “zważenie” i odszukanie zależności.
Opis testu równowagi, czy dokładnie – oceny prawnie uzasadnionego interesu administratora, LIA – z angielskiego liability interest assessment, jest tylko opisem wzorcowym procesu. RODO wymaga dokumentów tylko w ograniczonym zakresie, opisując minimalną ich zawartość. Dla LIA nie mamy takiej instrukcji, w związku z tym audytorzy, aby wykazać zgodność działania z prawem mogą posługiwać się tylko pomocniczo opisem wyżej.
Co oceniamy?
Przykładowy zestaw obszarów niezbędnych do zbadania i dowodów, które dostarczą odpowiedzi na pytanie:
Czy przesłanki z art. 6 są stosowane w sposób zapewniający bezpieczeństwo osoby, której dane dotyczą? (czyli zgodność z art. 5.1.a – wymaganie pierwsze).
W tym celu konieczna jest (przykład):
- Identyfikacja procesu przypisywania przesłanek przetwarzania;
- Identyfikacja (w tym przypadku) sposobu uzasadnienia zastosowania art. 6.1.f RODO.
Ocena:
Oceniamy prawidłowość procesu – nie przypisania konkretnej przesłanki. Nawet jeśli zauważyliśmy, że przesłanka jest przypisana niewłaściwie, to audytor wykorzystuje swoją wiedzę branżową do:
- Opisania niezgodności (jeśli jest w stanie wskazać naruszone wymaganie, z oznaczeniem kryterium) lub potencjału doskonalenia (jeśli nie ma takiego wymagania, ale zdaniem audytora powinno się znaleźć w regulacjach wewnętrznych). UWAGA: wytyczne grupy roboczej, Prezesa Urzędu Ochrony Danych Osobowych czy innych podmiotów są tylko wskazaniem do czynności, a nie wymaganiem!
- Zidentyfikowania źródła niezgodności (np. brak wiedzy osoby, praca jednej osoby na procesach obejmujących wiele działów itd.),
- Wydania rekomendacji w dwóch obszarach:
- Usunięcia niezgodności lub wdrożenia potencjału doskonalenia;
- Oceny zbiorczej z danego obszaru, wskazującej na problemy systemowe (brak procedur lub ich niedoskonałość, brak organizacji w danym obszarze, brak wiedzy);
- Uzasadnienia (od wielu lat stosowane w audytach bezpieczeństwa w tym danych osobowych. Dzięki dodaniu tego elementu ilość twórczości audytorów zdecydowanie spadła).
Szacowanie i ocena ryzyka
Jest to kolejny obszar, przy którym można wykazać strukturę RODO jak na wstępie omówienia praktycznego audytu RODO. Co do zasady wymagania w tym zakresie są określone w dwóch artykułach (wiodących) czyli art. 24 i 32 RODO. Odnosząc się do zasad z art. 5.1. RODO:
- 24 – jest rozwinięciem zasady zgodności z przepisami prawa (art. 5.1.a – zasada pierwsza) oraz rozliczalności (art. 5.2. RODO);
- 32 – jest rozwinięciem zasady 5.1.d (w zakresie prawidłowości danych) oraz zasad z art. 5.1.f (integralność, poufność).
A więc dane z oceny procesu szacowania i oceny ryzyka będą dostarczać dowodów do dopełnienia ochrony osób fizycznych w związku z przetwarzaniem ich danych w zakresie zgodności z przepisami prawa (nie tylko przesłankami) oraz zapewnienia bezpieczeństwa rozumianego jako prawidłowość i integralność przetwarzanych danych oraz ich poufność.
Dla przejrzystości przykładu zawęzimy nasze rozważania do art. 32 RODO i stopnia bezpieczeństwa odpowiedniego do ryzyka.
Dowody z audytu:
- Identyfikacja zasad określenia poziomu ryzyka;
- Identyfikacja zasad określenia poziomu odpowiedniego do poziomu ryzyka.
W toku całego badania tego obszaru dodatkowo podlegają ocenie:
- W jaki sposób uwzględniony został stan wiedzy technicznej (doskonały przykład Morele.net),
- W jaki sposób został uwzględniony koszt wdrożenia (warto pamiętać o uzasadnieniu do wyroku WSA w sprawie Bisnode),
- W jaki sposób uwzględniony zostały charakter, zakres i cele przetwarzania,
- W jaki sposób został uwzględniony kontekst przetwarzania.
Co oceniamy?
Przykładowy zestaw obszarów niezbędnych do zbadania to:
Czy dane osobowe przetwarzane są w sposób zapewniający ich integralność i poufność, zgodnie z art. 5.1.f. (celowo pominięty atrybut dostępności, który pojawia się w późniejszych artykułach i nie jest wprost zasadą wyrażoną w art. 5).
Analogicznie do przykładu powyżej. Ocenie poddawane są procesy, czynności, działania, które doprowadziły organizację do stanu RODO z dnia audytu. Ale stan ten jest DOWODEM na skuteczność lub jej brak.
Audyt bezpieczeństwa
- Cel audytu: określenie skuteczności wdrożonych rozwiązań do wyników szacowania i oceny ryzyka;
- Kryteria audytu: Szacowanie i ocena ryzyka (dla celu podstawowego), wymagania prawne (jako minimalne wymagania bezpieczeństwa w organizacji);
- Wykonawca audytu: Wszystkie trzy, zależnie od zleceniodawcy audytu.
W tym działaniu oceniana jest skuteczność wdrożonych rozwiązań w odniesieniu do kryterium jakim jest szacowanie i ocena ryzyka. Przykład Morele.net jest doskonałym do zobrazowania różnicy między audytem zgodnościowym (compliance), a audytem bezpieczeństwa. W swoim wystąpieniu Prezes Urzędu Ochrony Danych Osobowych wskazał niektóre mechanizmy związane z bezpieczeństwem dostępu do swoich kont (logowania, uwierzytelnienie dwuskładnikowe), a więc obszary które co do zasady nie są już nigdzie uregulowane, więc ciężko jest audytować na zgodność. Bo nie bardzo jest do czego. W audycie bezpieczeństwa ocenie należy poddać już mechanizmy zabezpieczeń, a dokładniej proces ich wyboru. Od stawiania wymagań, wynikających z szacowania i oceny ryzyka, przez ocenę ryzyka rezydualnego (resztkowego, szczątkowego), które pozostaje po wdrożeniu postępowania z ryzykiem. I do tego ryzyka odnieść się jako poziomu akceptowalnego bądź nie.
Podsumowanie
Powyższe przykłady mają za zadanie wskazać bardzo istotny aspekt w audycie RODO. Akt prawny wymaga dużo więcej niż wcześniejsze przepisy (błędna interpretacja wymagań Ustawy z 1997 roku). Dużo więcej, bo już niewypełnienia dwóch dokumentów wiodących:
- Polityki Bezpieczeństwa Danych Osobowych;
- Instrukcji Zarządzania Systemem Informatycznym.
System ochrony danych osobowych musi być systemem interaktywnym, odpowiadającym na zmieniające się otoczenie. Na nowe sposoby przetwarzania danych osobowych, nowe zagrożenia ze strony atakujących, czy wręcz na zmiany w naturze czy otoczeniu organizacji. Zwykła budowa biurowca obok lokalizacji firmy zmienia już strukturę zagrożeń, a z nią strukturę ryzyka.
Audyt RODO powinien dostarczyć odpowiedzi na to, czy organizacja dysponuje systemem, który potrafi zrealizować te zadania i odpowiadać na zmieniające się otoczenie. Jednostkowe niezgodności z konkretnymi artykułami RODO stanowią tylko dowody i początek poszukiwań w przypadku niezgodności. Poszukiwań, co spowodowało tą niezgodność. A to wymaga już umiejętności eksperckich w zakresie, jaki jest badany. I wbrew pozorom nie są to tylko umiejętności i wiedza prawnicza czy IT. To też np. kwestia szkoleń.
Pamiętajmy, że jest znacząca różnica między pracownikiem SZKOLONYM, a WYSZKOLONYM.
Poniżej krótki wykaz kluczowych zakresów oceny dla pełnego audytu RODO. Pamiętać tylko należy, że audyt RODO jest ogromnym wydatkiem (mniej finansowym, bardziej organizacyjnym) dla organizacji. Są to spotkania, przygotowanie materiałów, komunikacja w audycie, Dlatego jeśli istnieje taka możliwość, należy go rozłożyć np. na 12 miesięcy (nie dłużej). I w programie audytów rozpisać, które działania, czynności będą audytowane w danym miesiącu. Ale tak, aby całość audytów dostarczyła informacji o całym systemie RODO.
Zakres oceny i wymagania
Dla audytu RODO wszystkie nasze działania powinny zmierzać do oceny systemu ochrony danych osobowych w odniesieniu do celu wydania aktu prawnego. A jest on zawarty już w tytule. Uszczegółowieniem, czy też swoistym określeniem “atrybutów osoby” jest art. 5.1 RODO, który mówi, że osoba będzie bezpieczna, jeśli jej dane:
- Będą oparte o przepis prawa;
- Będą przetwarzane rzetelnie;
- Będzie mogła dowiedzieć się jak i co się dzieje z danymi;
- Będą przetwarzane tylko w konkretnym celu;
- Będzie ich tylko tyle ile potrzeba;
- Będą prawidłowe;
- Będą przetwarzane tylko wtedy, kiedy to potrzebne i w takim czasie w jakim mogą być potrzebne;
- Będą bezpieczne – tj. integralne;
- Będą bezpieczne – tj. chronione przed dostępem osób nieuprawnionych.
Aby zrozumieć te zasady i cele realizacji audytu RODO, stosujemy różne analogie. Pozostając nadal przy człowieku. Prawem jest też prawo do życia. A to oznacza, że:
- Będzie oddychał;
- Serce będzie było:
- Pozostałe organy działać będą również zgodnie ze swoimi funkcjami.
Obszary, które dostarczają ochrony to ochrona zdrowia fizycznego i psychicznego, środki ochrony zbiorowej (bariery na mostach, na drogach), ochrony indywidualnej – pozostając przy samochodach pasy bezpieczeństwa i poduszki.
Audyt RODO wymaga zrozumienia RODO. I oceny do celów.