Audyt procesora

Audyt procesora

Reklama

Kilka przemyśleń dotyczących audytu procesora po wczorajszym webinarze. 

Dwa zdania wstępu

Do celu nieco zmienionej formy webinaru (grupa zaawansowana #RODOmaniaków) wzięliśmy dwa materiały źródłowe:

  • Przykładową umowę powierzenia przetwarzania danych, według oferującego w internecie ją bezpłatnie – zgodną z RODO;
  • Listę kontrolną w wersji 3.02 (wzór 2016), z Metodyki Audytu Bezpieczeństwa Instytutu Bezpieczeństwa;

Celem było przygotowanie audytu procesora w formule, jaka jest zapisana w MAB Instytutu – czyli przygotowanie fazy I – analizy dokumentacji. 

Analiza dokumentacji – ocena umowy powierzenia

Jednym z istotniejszych założeń, jakie należy przyjąć przy ocenie procesora jest zrozumienie, że wykonuje on operacje przetwarzania:

  • W naszym celu;
  • Na “naszych” danych;
  • Na naszą rzecz (naszego procesu);

Dlaczego jest to takie istotne?

Administrator, nawet powierzając przetwarzanie: 

MUSI SIĘ WYKAZAĆ ZGODNOŚCIĄ Z ZASADAMI art 5 RODO

Czyli pojawia się cel audytu, który jest celem nadrzędnym nad celem “audyt procesora”:

Zgodność z RODO, a nie z umową!

Wprowadzając nieco w kwestie zarządzania biznesem, czy organizacją. Każdy proces ma swoje etapy, zwane czasem krokami. W organizacjach najczęściej są one spisane w formie procedur (opisów procesów). Procedura co do zasady obejmuje przebieg procesu przez całą organizację, od jego początku do zakończenia. Ale etapy tego procesu wykonywane są przez konkretne komórki organizacyjne i… podmioty zewnętrzne. 

Do naszych komórek organizacyjnych kierowane są instrukcje związane z konkretnymi czynnościami. Np. zamówieniem (dział handlowy), produkcją (dział produkcji) dostawą (dział spedycji) czy reklamacjami (dział reklamacji). Każdy z tych działów ma swoje własne instrukcje wykonywania swoich etapów, nazywane również procedurami (nieco mylna nazwa, powoduje puchnięcie ilości procedur do niewyobrażalnych ilości). 

A co w sytuacji gdy realizację konkretnego etapu oddajemy firmie specjalizującej się? 

Miejsce instrukcji wykonania czynności zajmuje umowa między firmami. Natomiast w obszarze ochrony danych osobowych miejsce procedur bezpieczeństwa zajmuje umowa powierzenia lub inny instrument prawny. 

Audyt

Analogicznie jak w przypadku audytu etapu procesu biznesowego realizowanego przez podmiot zewnętrzny, również nasz audyt, w obszarze ochrony danych osobowych powinien być realizowany w nieco inny sposób. Oddając na zewnątrz np. usługę transportu, zakładamy, że mamy eksperta po drugiej stronie. Więc nie musimy tworzyć własnego stanowiska specjalistycznego w dziedzinie obsługi floty, kontroli tachografów, a nasze działy HR nie zaczynają się specjalizować w czasie pracy kierowców. 

Tak samo oddając przetwarzanie danych np. hosting stron i systemów, nagle nie tworzymy stanowiska administratora serwera, sieci, czy też nasi administratorzy nie stają się nagle ekspertami w rozwiązaniach dostarczanych przez kontrahenta. 

Jak więc audytować?

Zgodnie z RODO. Czyli wchodząc niejako w rolę inspektora organu nadzorczego. Kilka przykładów do wykonania UWAGA metodami wcale nie wymagającymi:

  • Interakcji;
  • Pracy w lokalizacji klienta. 

Krótka dygresja. Nie rozumiem, dlaczego w środowisku RODO utarło się przekonanie związane z tym, że audyt musi się wiązać się z wizytą w miejscu przetwarzania danych jak również oparty być o metody z interakcją, takie jak wywiady. Po pierwsze do ustalenia stanu faktycznego tego, co zostało zrealizowane wywiad jest OSTATNIĄ metodą, bo często mówi o tym, co się komuś wydaje, a nie jak jest. A druga sprawa – to czy funkcjonuje system możemy wywnioskować z analizy dokumentacji nadesłanej przez procesora. A rozważania np. co od audytu hostingu dostarczanego np. z Francji czy Hiszpanii hm… powodzenia.

Metody audytu za ISO 19011

Metody audytu prezentowane na grafice pochodzą z normy ISO 19011 – wytyczne dotyczące audytowania systemów zarządzania (rozwiązania oparte o RODO są systemem zarządzania ochroną danych). 

Faza I – analiza dokumentacji

Pierwszym etapem audytu jest analiza dokumentacji. Wiodącym dokumentem w zakresie audytu procesora jest umowa powierzenia. Pracujemy z nią w dwóch obszarach:

  • Zgodności z RODO – jako dokumentu;
  • Identyfikacji wymagań, do sprawdzenia w toku audytu;

Zgodność z RODO – faza I

Analiza umowy “wzorcowej” dostarczyła nam wczoraj niezłych emocji. Tematy, z którymi mogę się podzielić w zakresie zidentyfikowanych potencjałów (sytuacja w której uważam, że można lepiej) i niezgodności ( sytuacja w której uważam, że naruszona została norma prawna – audytowaliśmy do RODO) poniżej. Tylko wybór, nie da się wszystkiego w krótkim artykule zamieścić.

  • 1: Potencjał – podana pełna nazwa RODO oraz informacja o tym, że w dalszym toku umowy będzie używane określenie “Rozporządzenie”. Zalecamy jednak używanie skrótu RODO, bo jest bardziej rozpoznawalny. Ale jak to z potencjałem doskonalenia – do uznania klienta;
  • 2: Niezgodność – określenie operacji przetwarzania (pełen katalog z RODO) z dopiskiem, że procesor będzie przetwarzać w zakresie minimalnym. Naruszona norma art 29. Istotą artykułu 29 jest wykonywanie czynności na polecenie administratora. Owo polecenie może znajdować się w umowie o usługę. Ale nie wolno zostawiać dowolności w zakresie przetwarzania danych osobowych, chociażby z powodu potencjalnego naruszenia zasad z art 5 RODO. Jeśli procesor samodzielnie sobie “wybierze” to co uzna za minimalne i niezbędne – cóż… Tracimy kontrolę nad tym procesem oraz wiedzę co i w jakim zakresie jest przetwarzane. Ten obszar został wskazany do analizy dalszej i zgromadzenia dowodów, w jaki sposób procesor sobie to “określa”. 
  • 3: Niezgodność z fundamentami RODO. Punkt o należytej staranności w zakresie przetwarzania danych jest całkiem oderwany od realiów przepisu. Nie staranność, a realizacja procedur. Analogicznie jak w etapie procesu u nas – nie staranność, a wykonanie czynności zgodnie z instrukcjami. W przypadku procesora – wykonanie czynności zgodnie z postanowieniami umowy. 
  • 4: Niezgodność w zakresie nadania TYLKO upoważnień. Znów zabrakło zmiany do regulacji w RODO. Upoważnienia były wystarczające w poprzednim stanie prawnym. Według nowych regulacji każda osoba wykonująca operacje na danych osobowych MUSI wykonywać je również na podstawie art 29 – czyli z polecenia. Zawartego w procedurach, instrukcjach, czy poleceniach procesora. 

Ocenialiśmy jeszcze pozostałe kwestie, ale już się zatrzymam. Do dalszego prowadzenia audytu już mamy zidentyfikowane kolejne etapy a także już w fazie I niezgodności i potencjały:

  • Ad 2 – niezgodność z art 5 oraz art 29 w treści umowy. Jeszcze nie wiemy, czy jest na razie “wydaje nam się”. Poprosimy o dokumenty lub inne dowody (np. maile) wskazujące na określenie zakresu przetwarzanych danych i operacji. Jeśli się okaże, że administrator nie wskazał (nie uzgodnił, bo to procesor jest ekspertem w swoim działaniu) zakresu przetwarzania danych, kategorii i rodzajów danych, operacji na nich – będziemy mieć niezgodność potwierdzoną. Trzeba tylko wskazać konkretny przepis prawa, który został naruszony.
  • Ad 3 – tutaj wskazane jest zrozumienie, “co autor miał na myśli”. Może się okazać, że tak sobie wpisał, bo ładnie wygląda. A nie miał takiej intencji. Cóż.. należyta staranność jest ślicznym stwierdzeniem, tylko nie wnosi za wiele do umowy. 
  • Ad 4 – kolejny zestaw dokumentów do oceny. Jeszcze nie do końca wiemy, czy problemem jest zły zapis w umowie, czy może faktycznie w danej organizacji są upoważnienia, a dalej… co kto wymyśli to sobie robi. Zawężając materiał dowodowy, należy poprosić o materiały związane z określeniem procedur wykonywania operacji, w których są przetwarzane dane osobowe. Owszem, może być problem z ich pozyskaniem, bo firma może się zasłonić tajemnicą przedsiębiorstwa (i słusznie). Wtedy musimy wypracować z procesorem inny sposób dostarczenia nam dowodów, że ludzie wykonują operacje na danych osobowych na polecenie procesora. Wtedy sobie porównamy z naszymi zaleceniami w umowie i jesteśmy w przysłowiowym domu. 

Nie wychodząc z domu

Jak widać bardzo duży zakres audytu procesora można wykonać metodami:

  • Bez interakcji osobowej, zdalnie
  • Z interakcją osobową, zdalnie. 

Oczywiście wskazane jest, aby potwierdzić działania w praktyce. Np. to, że rzeczywiście osoby są upoważnione (próba polegająca na sprawdzeniu osoby na stanowisku pracy, np. Pan Adam i dostarczenia przez procesora upoważnienia dla Pana Adama). Choć wiem, że nie zawsze jest to możliwe. 

Jednak nikt nie może nam zarzucić, że nieobecność w miejscu przetwarzania danych osobowych oznacza brak audytu. Proszę – wyżej wskazane zarówno metody audytu jak i dowody. Tym bardziej, że jak pisałem wywiad nie zawsze jest metodą właściwą. Dobierając metody audytu musimy wiedzieć, jaki jest cel pozyskania dowodu z audytu (wywiad, jak zeznanie jest dowodem “ze świadka”).

Historyjka

Sytuacja, która wskazuje, że wywiad bywa złudny. Audyt bezpieczeństwa, Polska południowa, 2017 rok, duże centrum handlowe. Audytor praktykant prowadzi wywiad z operatorem monitoringu – dowódcą zmiany ochrony. 

  • Czy wszystkie kamery są sprawne?
  • A jasne panie!

Stukam praktykanta w ramię i pokazuję mu monitor. 3 pola są nieaktywne. Audytor dopytuje:

  • A te trzy?
  • A te… one nie są sprawne od zawsze…

Metody audytu do oceny monitoringu to po pierwsze analiza dokumentacji:

  • Powykonawczej (rozmieszczenie urządzeń, typy, karty katalogowe, cel stosowania)
  • Eksploatacyjnej (przeglądy, naprawy, wyłączenia)

Po drugie pobór próby:

  • Obserwacja z rejestracją obrazu z wybranych kamer bądź rzutu całości

Po trzecie: 

  • Wywiad. Ale nie w celu uzyskania wiedzy co do rozmieszczenia (powinno być w dokumentacji), napraw (powinno być w dokumentacji), eksploatacji (powinno być w dokumentacji), szkolenia operatorów (powinno być w dokumentacji). A w celu uzyskania wiedzy, co gościu podjął w celu usunięcia i jaki był tego efekt. To do oceny skuteczności działania serwisu i tego, czy takiemu systemowi możemy uwierzyć. 

Podsumowanie

Chyba widać, że nie jestem fanem wywiadów. Nie, bo często dostarczają deklaracji jak ma być. A ta deklaracja częst się ma nijak do tego, jak naprawdę jest. A PUODO, nasz organ nadzorczy już pokazał, że nie będzie oceniał kwitów i deklaracji, a stan faktyczny. Dlatego naprawdę warto jest sprawdzać jak jest naprawdę. Nie bez znaczenia jest też fakt, że większość z tych zadań możemy wykonać w biurze i… 

Z doświadczenia

Wykonałem od 2000 roku ponad 700 różnego rodzaju audytów. Od drobnych i małych, w wąskich zakresach aż po duże, wielowymiarowe i pełne (BHP, dane osobowe i informacje, ATEX, pożarówka, fizyczna, środowisko). I wszędzie sprawdza się jedna zasada:

Dobrze wykonana faza I audytu – to krótka wizyta potwierdzająca działanie

Innymi słowy 70% pracy to sprawdzenie dokumentacji:

  • Systemowej;
  • Zapisów.

Dlaczego? Bo pewne rzeczy po prostu muszą być udokumentowane. Bo nasza pamięć jest zawodna i nie pamiętamy, dlaczego coś przyjęliśmy. Bo pracownik, który brał udział w tworzeniu systemu już nie pracuje. Bo organ nadzorczy posłucha, posłucha, popatrzy… i zastanowi się czy dać wiarę zeznaniom. A dokument? Jest i potwierdza. Przy czym naprawdę trzeba uważać na przerost formy nad treścią. Potwierdzeniem niektórych działań może być mail, czy notatka. A nie super wielgaśne raporty, tworzone dla biurolubów.