Audyt RODO – Stan wiedzy technicznej
Wprowadzenie
W art 32 RODO prawodawca nakazał uwzględnienie stanu wiedzy technicznej przy projektowaniu i wdrażaniu zabezpieczeń. W naszym wczorajszym spotkaniu on-line w ramach analizy kontekstu przetwarzania ujawniliśmy ciekawą rzecz. Analizowaliśmy obszar “Badania i rozwój” w strukturze analizy organizacji i procesu przetwarzania. W ramach oceny rozpatrywaliśmy, w jaki sposób w obszarze przetwarzania są brane pod uwagę następujące czynniki:
- Badanie światowych tendencji rozwoju
- Wprowadzanie nowych rozwiązań
- Modernizowanie dotychczasowych rozwiązań
- Różnicowanie wersji jakościowych
- Własny potencjał badawczy
- Wykorzystanie potencjału obcego
- Kreatywność i ruch innowacyjny
- Inne
Zestaw czynników jest ustalony katalogiem naszych narzędzi. W analizie w pierwszej kolejności oceniamy, czy czynnik ma zastosowanie, a następnie przypisujemy do konkretnego przedziału od 0 do 5. 0 oznacza, że w organizacji nie występuje w ogóle takie działanie, 5 – że działanie jest realizowane bardzo dobrze i efektywnie.
Podczas wczorajszego spotkania zidentyfikowaliśmy w pewnym przypadku sytuację w której IOD lub manager bezpieczeństwa informacji sam, z własnej inicjatywy a nawet za własne środki bierze udział w konferencjach, czy po godzinach pracy przeszukuje internet.
Audyt RODO
Na bazie tych danych wcieliłem się w audytora RODO.
- Otóż po pierwsze, w sytuacji w której organizacja (administrator) nie jest w stanie wykazać mi co najmniej monitorowania rozwoju technicznego w obszarze zabezpieczeń, to już zapala mi się czerwona lampka. I nie – działanie SAMODZIELNE IOD nie jest działaniem systemowym. Po prostu jeśli IOD odejdzie, a na jego miejsce przyjdzie inny, mniej chętny do poświęceń, to monitorowania po prostu nie będzie.
- Druga sprawa – audytując RODO wymagamy systemowych rozwiązań, a nie rozwiązań opartych o indywidualne kompetencje i cechy osobowości. I mają to być rozwiązania ADMINISTRATORA, udowodnione (zademonstrowane) przez niego, że są podejmowane (art 5.2. RODO – rozliczalność).
Rekomendacje
W trakcie webinara dotyczącego rekomendacji w audycie, jaki zrealizowaliśmy wraz z Europejską Akademią Bezpieczeństwa i Ochrony, wskazaliśmy że zarówno identyfikacja niezgodności, jak i propozycje oraz ich uzasadnienie nie są wcale prostą kwestią. Audyt ma nie tylko wskazać niezgodność, czy to z przepisem prawa, umową, czy procedurami. Ma też wskazać które z mechanizmów nie działają właściwie lub których nie ma wcale. Poniżej rekomendacja w strukturze wymaganej od 2012 roku (uzupełnienie o uzasadnienie propozycji).
Stan faktyczny
Formalnie jest tutaj mowa o braku monitorowania, czy też rozpoznania trendów, zmian. A więc nie ma możliwości niestety wykazać, że stan wiedzy technicznej został uwzględniony. Dlatego niezgodność występuje w związku z art 32 RODO.
Drugim przepisem na który należy zwrócić uwagę jest art 38.2 RODO
- Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
W tym przypadku wykazanie niezgodności będzie trudniejsze. Raczej w tym przypadku mielibyśmy do czynienia z potencjałem doskonalenia. Niemniej warto zaznaczyć, że interpretacja ostateczna może należeć do inspektora Urzędu Ochrony Danych Osobowych. Dlaczego ważne? O tym piszemy w uzasadnieniu.
Rekomendacja
Szkolenia? Konferencje? NIE!
Audytor nie jest KONSULTANTEM!
Powtarzać to będziemy do znudzenia. Celem działania audytora jest odszukanie mechanizmów, a nie artefaktów. Innymi słowy to co wyżej zidentyfikowaliśmy jest dla nas dowodem z audytu, który należy interpretować a następnie ocenić.
Rekomendacja powinna obejmować wskazanie, czy dokładniej naprowadzenie na rozwiązanie. Czyli zaproponować rozważenie systemu, który np.:
- Wskaże potrzeby w zakresie monitorowania i analizy rozwoju w adekwatnych obszarach (np ryzyka i zagrożenia vs środki bezpieczeństwa);
- Wskaże sposób oceny adekwatności nowinek, rozwoju, czy informacji na konkretne tematy;
- Określi sposób implementacji zmian czy nowych rekomendacji, nowych rozwiązań;
Uzasadnienie
Po pierwsze system. Nie – niezgodność z przepisem i kara są ostatnimi o których piszemy. Raczej chodzi o to, aby rozwiązania były systemowe i łatwiejsze. Czyli język korzyści. A tutaj mamy do czynienia z jedną ogromną korzyścią. Badanie trendów i analiza, wdrożenie to jest po prostu OSZCZĘDNOŚĆ. Zamiast IOD wraz z ASI siedzący i rozkminiający “co tu jeszcze mogę zrobić”, mają informacje z których można skorzystać.
Po drugie pewność. Materiały opublikowane, badania, to chyba dużo lepsza podstawa o decyzji niż pomysły jednego czy dwóch bezpieczników? Po 25 latach w branży wiem, że to jest jedna z największych bolączek środowiska. Nie ma z kim konsultować. Portale społecznościowe i rozwój komunikacji via Internet poprawił nieco sytuację, ale nadal problemem jest to, że nie zawsze jest z kim skonsultować .
Po trzecie przepis prawa. Tutaj wprost wystarczy wskazać naruszoną normę czyli art 32 dodatkowo potencjał (niewspieranie IOD-a – 38.2). Plus oczywiście sankcje.
Podsumowanie
W związku z ogromnym zainteresowaniem audytem będziemy kontynuować artykuły w podobnej formie zarówno na naszych łamach jak i na zaproszenie Europejskiej Akademii Bezpieczeństwa i Ochrony. Zachęcamy też do przeczytania artykułu o audycie RODO:
Czytaj: Audyt RODO