Nasz pierwszy post na Facebook i LinkedIn dotyczący informacji o programie szkolenia Audytor Bezpieczeństwa był o celu audytu. O tym celu dziś napiszemy, w kontekście naruszenia ochrony danych osobowych na Politechnice Warszawskiej (wyciek informacji) i dość ciekawej informacji podanej przez autorów pierwszej notki, Zaufanej Trzeciej Strony (Z3S). Otóż okazało się, że po artykule wpłynęły do autorów informacje od osób związanych z Politechniką, że nagle rozpoczęła się akcja masowego usuwania danych, które podobno nie powinny być przetwarzane. Tyle tytułem wstępu, przejdźmy przez zdarzenie z punktu widzenia audytora.
Konsultant czy audytor?
W trakcie wielu naszych spotkań edukacyjnych lub działań w trakcie audytu zawsze wracamy do jednej ze złotych zasad:
Audytor nie jest konsultantem.
Pisaliśmy o tym wielokrotnie, dziś tylko w skrócie, dlaczego:
- Zbyt mało wiedzy. Trudno uznać, że audytor, który ma styczność z konkretną firmą przez kilka dni, zapozna się z nią dobrze. Na tyle, żeby ocenić zagrożenia z otoczenia, stosowanych systemów IT, środków przetwarzania, przetwarzania w formie tradycyjnej. A to tylko dane do analizy zagrożeń, która powinna być wykonana przed szacowaniem i oceną ryzyka. Następnie opisy procesów przetwarzania, dobór przesłanek i wiele, wiele innych informacji. Jeśli ktoś uważa, że jest w stanie ocenić to w sposób szczegółowy w kilka dni to chyba nie wdrażał nigdy systemu ochrony danych osobowych lub zapomniał, że to proces trwający nawet kilkanaście tygodni. Nie kilka dni. Jest też inna opcja, może mieć bardzo wysoką samoocenę.
- Punkt odniesienia. Naturalną sprawą jest to, że jeśli mamy za sobą udane wdrożenia, to na inne systemy patrzymy przez pryzmat naszych wcześniejszych działań. Im doświadczenie głębsze (większa ilość projektów), tym radykalizm RODO staje się mniej radykalny. W jednej firmie upoważnienia rozwiązano w jeden sposób, w innej w drugi. A w trzeciej jeszcze w inny sposób. To powoduje, że audytor o odpowiednim doświadczeniu przestaje być tak mocno związany ze swoim wyobrażeniem o systemie i zaczyna myśleć o nim tak jak powinien. Czyli z punktu widzenia celu przetwarzania, rodzaju organizacji i kultury organizacyjnej.
Te dwa punkty powinny już powoli naprowadzać na to, co jest celem audytu jakiegokolwiek systemu. Tutaj systemu ochrony danych osobowych, czy dokładniej – zarządzania ochroną danych osobowych.
Audytujemy procesy
Audytowi RODO powinny podlegać procesy związane z ustanowieniem i utrzymaniem systemu ochrony danych osobowych, dostarczającego odpowiedniego poziomu bezpieczeństwa.
W przypadku Politechniki Warszawskiej i dość nerwowych ruchów, o których pisze Adam z Z3S, wszystko wskazuje na to, że nie do końca właściwie realizowany jest proces związany z określeniem celu i zakresu przetwarzania danych osobowych. Efektem jest to, że nie do końca wiadomo, czy dane wolno, czy nie wolno przetwarzać. Podobny problem „raportował” Morele.net (w dokumentacji UODO przewinęło się kilka „kwiatków”), który równie nerwowo pokasował część danych osobowych. Co ciekawe, takie kasowanie jest też nie zawsze zgodne z RODO. A konkretnie z trybem i zasadami usuwania danych osobowych, w tym informowaniem osoby, której dane dotyczą.
Wnioski
Te dwie sytuacje:
- Nie wiem, czy wolno mi przetwarzać dane,
- Kasuję dane „na wszelki wypadek”.
To dowody z audytu. Dostarczają nam informacji o tym, w jaki sposób zostały ułożone procesy. Brak właściwego ich przygotowania i późniejszej realizacji prowadzi do naruszeń, które w tym przypadku mogą już mieć dwa wymiary:
- Przetwarzanie danych osobowych, do których administrator nie jest uprawniony,
- Naruszenia przepisów dotyczących usuwania danych.
Wiedza merytoryczna
W tym momencie dochodzi do głosu wiedza merytoryczna audytora. Jeśli zrozumiemy, że celem naszego działania jest ocena prawidłowości procesu, a nie jednostkowego działania, w raporcie powinna znaleźć się rekomendacja dotycząca określenia sposobu identyfikacji celu przetwarzania, zakresu danych niezbędnych do osiągnięcia celu i doboru podstawy prawnej przetwarzania (na początek).
Bo kto powiedział, że te dane, które podobno są usuwane, nie mogą być przetwarzane?
Jest w RODO przepis, który zezwala na przetwarzanie danych osobowych na podstawie prawnie uzasadnionego celu administratora danych lub stronę trzecią. I w tym przypadku administrator być może miałby prawo przetwarzać dane, a więc pierwsze naruszenie (w audycie niezgodność) w ogóle nie zaistnieje.
Niestety, jeśli proces nie jest ułożony właściwie, to trudno będzie uzyskać zgodność.
Podsumowanie
Audytem RODO nie jest audyt, który ocenia, że dziś mamy zgodność z prawem. Zgodność to compliance z angielskiego. I jak wiele razy pisaliśmy w social media, compliance to nie to samo co bezpieczeństwo. To zgodność.
Potrzebuję audytu czy przeglądu branżowego?
Jako druga część podsumowania, dziś wnioski z 20 lat pracy w audycie. W wielu przypadkach klienci sygnalizują, że mają potrzebę przeglądu branżowego swojego systemu ochrony danych osobowych. Czyli dokładnego sprawdzenia, czy obecny system wdrożony w takiej formie jest OK i jest zgodny z RODO.
Przypomina to trochę przeglądy np. systemów przeciwpożarowych, w których mamy sztywne wymagania postawione w przepisach. Mamy wymagania co do zadziałania czujek (zadymienie), czasów reakcji systemu (t1 i t2), czy zamykanie i domykanie bram i drzwi pożarowych. Wszystkie parametry są opisane w przepisach czy wymaganiach producenta. Tak uzupełniając, do systemu ochrony danych powinny trafiać raporty z tych przeglądów jako dowody utrzymania systemu ochrony przed zniszczeniem lub uszkodzeniem.
Przegląd branżowy RODO, zwany często audytem RODO (proszę samodzielnie ocenić czy słusznie) jest działaniem dość skutecznym w środowisku stabilnym. Czyli takim, w którym nie dochodzi do zmian w przepisach, czy w ich interpretacji. W organizacjach, które co do zasady są stałe i niezmienne, nie mają nowych procesów czy nie modyfikują obecnych. Niemniej zawsze warto pamiętać, że to co dziś działało, w świetle zmian i rozwoju wiedzy jutro może być już niewystarczające. Wystarczy spojrzeć w art. 32 RODO i zauważyć zapis o uwzględnieniu stanu wiedzy technicznej. Ale o tym już w innym artykule.
