Audyt wdrożenia RODO – pozornie prosty temat, który sprawia wiele problemów. Najczęściej problemy te mają dwa powody:
- Różne rozumienie słowa „wdrożenie”;
- Różne rozumienie wymagań, zawartych w RODO.
Przejdźmy przez nie po kolei.
WDROŻENIE
Wiele osób w branży uznaje wdrożenie za działanie obejmujące przygotowanie dokumentacji, przekazanie jej klientowi (lub włączenie w system dokumentacji organizacji, jeśli jesteśmy pracownikiem) oraz przeszkolenie z jej zawartości, poinformowanie o tym, kto ma jakie zadania w systemie.
Tu pojawia się pytanie. Czy tak rozumiane wdrożenie jest realnym wdrożeniem? Czy pracownik, który wykonuje pracę na konkretnej maszynie, będzie uznany za wdrożonego, gdy zostanie mu opowiedziane, w jaki sposób ma pracować?
Abstrahując od tego, jak rozumiemy wdrożenie, czy jest to przekazanie dokumentacji
i poinformowanie o zadaniach, czy sprawdzenie sposobu wykonywania zadań lub ocena zrozumienia, fundamentem jest dokumentacja i sposób jej tworzenia oraz sposób szkolenia.
ROZUMIENIE WYMAGAŃ RODO
Rozumienie wymagań to drugi aspekt, który należy wziąć pod uwagę, audytując wdrożenie RODO w organizacji. W wielu przypadkach dochodzi do płytkiego rozumienia wymagania, to z kolei prowadzi do pozornej zgodności. Przykładem może być artykuł 32 RODO. Wskazuje on na konieczność zastosowania zabezpieczeń organizacyjnych
i technicznych odpowiadających ryzyku.
Wiele organizacji nie ocenia jednak siły oddziaływania zabezpieczenia na ryzyko (poziom kontroli ryzyka), a jedynie pozostaje przy spełnieniu wymagania z art. 30, co oznacza, że zostaje przy prowadzeniu rejestru czynności przetwarzania danych osobowych. Jedną
z fakultatywnych informacji wymaganych w rejestrze są te dotyczące zabezpieczeń (jeśli to możliwe). Nie jest to jednak spełnienie wymagania z art. 32, ponieważ lista zabezpieczeń nie wskazuje na to, czy zabezpieczenie jest odpowiednie do ryzyka, czy nie. Jest po prostu wykazem.
AUDYT WDROŻENIA RODO
Co powinniśmy zbadać? Zgodnie z tym, co przeczytaliście we wstępie, jest to co najmniej:
- Dokumentacja;
- Szkolenia;
- Zrozumienie (i spełnienie) wymagań RODO.
DOKUMENTACJA RODO
Analiza dokumentacji oraz procesu jej tworzenia powinna odpowiedzieć nam na wiele pytań. Nie tylko tych, czy przesłanki są odpowiednio dobrane, a zakres danych jest właściwy. Analiza dokumentacji RODO powinna również odpowiadać na pytania, czy dokumentacja jest:
- Przygotowana we właściwy sposób. Oznacza to, że osoby opracowujące dokumentację posiadają odpowiednią wiedzę i kwalifikacje lub z takimi osobami jest ona konsultowana. Częstym błędem jest opisywanie np. zagrożeń pożarem lub włamaniem przez osoby, które nie posiadają żadnych kwalifikacji w tym zakresie;
- Zrozumiała dla użytkowników systemu. Zarówno sformułowania prawne,
jak i techniczne frazy z branży IT utrudniają zrozumienie dokumentu. Warto na to zwrócić uwagę. Jako metodę audytu można zastosować test, w którym ocenie poddana zostanie instrukcja czy procedura. Uczestnik badania po przeczytaniu dokumentu powinien powiedzieć, jak wykona czynności w niej opisane; - Dostępna w miejscu, czasie i formie. Czynności w zakresie ochrony danych osobowych wykonywane są w różnych miejscach w organizacji. Dostęp do dokumentacji, która określa sposób, tryb i formy powinien być określony. Z kolei dostępność okresowo sprawdzana;
- Aktualizowana zgodnie z wymaganiami. Wymagania aktualizacji mogą wynikać ze zmian w procesach organizacji (głównych, zarządczych, pomocniczych) lub ze zmian prawnych.
Pamiętajmy, że obszarów analizy dokumentacji w ramach audytu wdrożenia RODO jest znacznie więcej, w tak krótkim artykule trudno jest je jednak wszystkie opisać.
SZKOLENIE
Również tu mamy kilka kluczowych obszarów do zbadania, którymi są:
- Kompetencje i kwalifikacje osób, podobnie jak przy analizach i projektowaniu zabezpieczeń. To szczególnie ważne w zakresie doboru form i metod szkolenia do celów szkolenia (a tak naprawdę wiedzy o tym, jakie są i jak je dobierać). Zapoznanie z dokumentem (np. zadana lektura) nie powinna być metodą stosowaną dla wypracowania umiejętności np. korzystania z opcji ukrytego odbiorcy w wysyłanych mailach;
- Zakres szkolenia – kolejny istotny element wdrożenia. Osoby powinny być szkolone z zakresu wykonywanych zadań, a nie pełnej treści RODO. Dodatkowo w wielu audytach zauważalne jest “przeładowanie” programu szkolenia, w którym w ciągu jednego dnia prowadzący próbuje zmieścić podstawy prawne, zasady działania i dodatkowo informacje o postępowaniu przy naruszeniu ochrony. Przy dobrym audycie zostanie to zidentyfikowane i wskazane jako pozorna zgodność. RODO nie wymaga potwierdzenia szkolenia, a skuteczności;
- Zarządzanie wiedzą jako dostęp do wiedzy w czasie, miejscu i formie. Uzupełnia elementy dostępu do dokumentacji, wskazując poprawne działanie pracowników. Ponad 80% (badanie Europejskiej Akademii Bezpieczeństwa i Ochrony) użytkowników systemów popełnia błędy z niewiedzy. Duży odsetek tych osób deklarowało brak dostępu do materiału szkoleniowego, dzięki któremu mogłyby sobie przypomnieć poprawnych tryb postępowania. Istotnym elementem w badaniu poprawności wdrożenia RODO jest ocena programu szkoleń w ciągu roku (cykliczność).
ZROZUMIENIE WYMAGAŃ
Zrozumienie wymagań to jeden z najtrudniejszych aspektów audytu wdrożenia RODO. Obejmuje ocenę przygotowanych materiałów, dokumentów, szkoleń do wymagań z przepisów prawa. Wcześniej jako przykład podany został wymóg adekwatności zabezpieczeń.
Drugim przykładem jest opracowanie informacji dla osób, których dane są przetwarzane. Często taka informacja jest nazywana klauzulą informacyjną, co jest już frazą niezrozumiałą dla wielu osób i może stanowić niezgodność z art. 12 RODO. Narzędziem,
z którego często korzystamy w ocenie zrozumiałości treści, jest strona jasnopis.pl. Opracowanie mechanizmów oceny tekstu poprzedzone było badaniami językoznawców, informatyków, statystyków i psychologów, dlatego uznajemy tę stronę za dobre narzędzie. Efektem audytu (np. z wykorzystaniem jansopisu.pl) powinno być sprawdzenie stopnia zrozumiałości treści informacji przez osobę, której dane dotyczą, ponieważ wymóg prawny tego dotyczy. Nie samego opracowania i dostarczenia treści tzw. “klauzuli informacyjnej”. Częstym błędem w realizacji tego obowiązku jest skupienie się tylko na art. 13, który jest przepisem instrukcyjnym, wskazującym na zawartość informacji. Z częstym cytowaniem treści artykułu, a więc stosowania języka branżowego (tu prawniczego), podczas gdy istotny jest efekt, czyli wiedza osoby o przetwarzaniu jej danych osobowych.
PODSUMOWANIE
Niepoprawne wdrożenie systemu ochrony danych osobowych może wynikać z wielu obszarów.
Może być wynikiem błędu polegającego na braku osób o odpowiednich kwalifikacjach zarówno w zakresie tworzenia fundamentów dla systemu (analizy zagrożeń i ryzyka), jak i przekazywania wiedzy (błąd w doborze form i metod szkolenia). Brak zrozumienia istoty przepisu prawnego, wymagania jest częstym błędem, który skutkuje posiadaniem dokumentacji o charakterze deklaratywnym (deklaracja, że osoby i ich dane są chronione), bez wskazania i wymuszenia konkretnego działania w tym celu.
Treść uzasadnień dla wielu kar nałożonych przez organy nadzorcze wskazuje, że ten miks przyczyn występuje niezwykle często. Wykonanie oceny wdrożenia systemu ochrony danych osobowych powinno być przemyślane i wykonane przez kompetentną osobę, tak aby był on skuteczny i przynosił realną wartość firmie.
Dla przypomnienia RODO nie jest przepisem, który wymaga tylko dokumentów. To przepis wymagający skutecznego działania. Takiego, którego efektem będzie ochrona osoby, której dane dotyczą.
Interesuje Cię tematyka RODO? Zapraszamy na szkolenie on-line Audyt(or) RODO 24-25 listopada 2022. Szkolenie zakończone jest uzyskaniem certyfikatu i niezbędnej do przeprowadzenia audytu wiedzy.