Audyt RODO – Stan wiedzy technicznej

Reklama

Wprowadzenie

W art 32 RODO prawodawca nakazał uwzględnienie stanu wiedzy technicznej przy projektowaniu i wdrażaniu zabezpieczeń. W naszym wczorajszym spotkaniu on-line w ramach analizy kontekstu przetwarzania ujawniliśmy ciekawą rzecz. Analizowaliśmy obszar “Badania i rozwój” w strukturze analizy organizacji i procesu przetwarzania. W ramach oceny rozpatrywaliśmy, w jaki sposób w obszarze przetwarzania są brane pod uwagę następujące czynniki:

  • Badanie światowych tendencji rozwoju
  • Wprowadzanie nowych rozwiązań
  • Modernizowanie dotychczasowych rozwiązań
  • Różnicowanie wersji jakościowych
  • Własny potencjał badawczy
  • Wykorzystanie potencjału obcego
  • Kreatywność i ruch innowacyjny
  • Inne

Zestaw czynników jest ustalony katalogiem naszych narzędzi. W analizie w pierwszej kolejności oceniamy, czy czynnik ma zastosowanie, a następnie przypisujemy do konkretnego przedziału od 0 do 5. 0 oznacza, że w organizacji nie występuje w ogóle takie działanie, 5 – że działanie jest realizowane bardzo dobrze i efektywnie. 

Podczas wczorajszego spotkania zidentyfikowaliśmy w pewnym przypadku sytuację w której IOD lub manager bezpieczeństwa informacji sam, z własnej inicjatywy a nawet za własne środki bierze udział w konferencjach, czy po godzinach pracy przeszukuje internet. 

Audyt RODO 

Na bazie tych danych wcieliłem się w audytora RODO. 

  • Otóż po pierwsze, w sytuacji w której organizacja (administrator) nie jest w stanie wykazać mi co najmniej monitorowania rozwoju technicznego w obszarze zabezpieczeń, to już zapala mi się czerwona lampka. I nie – działanie SAMODZIELNE IOD nie jest działaniem systemowym. Po prostu jeśli IOD odejdzie, a na jego miejsce przyjdzie inny, mniej chętny do poświęceń, to monitorowania po prostu nie będzie. 
  • Druga sprawa – audytując RODO wymagamy systemowych rozwiązań, a nie rozwiązań opartych o indywidualne kompetencje i cechy osobowości. I mają to być rozwiązania ADMINISTRATORA, udowodnione (zademonstrowane) przez niego, że są podejmowane (art 5.2. RODO – rozliczalność).  

Rekomendacje

W trakcie webinara dotyczącego rekomendacji w audycie, jaki zrealizowaliśmy wraz z Europejską Akademią Bezpieczeństwa i Ochrony, wskazaliśmy że zarówno identyfikacja niezgodności, jak i propozycje oraz ich uzasadnienie nie są wcale prostą kwestią. Audyt ma nie tylko wskazać niezgodność, czy to z przepisem prawa, umową, czy procedurami. Ma też wskazać które z mechanizmów nie działają właściwie lub których nie ma wcale. Poniżej rekomendacja w strukturze wymaganej od 2012 roku (uzupełnienie o uzasadnienie propozycji). 

Stan faktyczny

Formalnie jest tutaj mowa o braku monitorowania, czy też rozpoznania trendów, zmian. A więc nie ma możliwości niestety wykazać, że stan wiedzy technicznej został uwzględniony. Dlatego niezgodność występuje w związku z art 32 RODO. 

Drugim przepisem na który należy zwrócić uwagę jest art 38.2 RODO

  1.   Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

W tym przypadku wykazanie niezgodności będzie trudniejsze. Raczej w tym przypadku mielibyśmy do czynienia z potencjałem doskonalenia. Niemniej warto zaznaczyć, że interpretacja ostateczna może należeć do inspektora Urzędu Ochrony Danych Osobowych. Dlaczego ważne? O tym piszemy w uzasadnieniu. 

Rekomendacja

Szkolenia? Konferencje? NIE!

Audytor nie jest KONSULTANTEM! 

Powtarzać to będziemy do znudzenia. Celem działania audytora jest odszukanie mechanizmów, a nie artefaktów. Innymi słowy to co wyżej zidentyfikowaliśmy jest dla nas dowodem z audytu, który należy interpretować a następnie ocenić. 

Rekomendacja powinna obejmować wskazanie, czy dokładniej naprowadzenie na rozwiązanie. Czyli zaproponować rozważenie systemu, który np.:

  • Wskaże potrzeby w zakresie monitorowania i analizy rozwoju w adekwatnych obszarach (np ryzyka i zagrożenia vs środki bezpieczeństwa);
  • Wskaże sposób oceny adekwatności nowinek, rozwoju, czy informacji na konkretne tematy;
  • Określi sposób implementacji zmian czy nowych rekomendacji, nowych rozwiązań;

Uzasadnienie

Po pierwsze system. Nie – niezgodność z przepisem i kara są ostatnimi o których piszemy. Raczej chodzi o to, aby rozwiązania były systemowe i łatwiejsze. Czyli język korzyści. A tutaj mamy do czynienia z jedną ogromną korzyścią. Badanie trendów i analiza, wdrożenie to jest po prostu OSZCZĘDNOŚĆ. Zamiast IOD wraz z ASI siedzący i rozkminiający “co tu jeszcze mogę zrobić”, mają informacje z których można skorzystać. 

Po drugie pewność. Materiały opublikowane, badania, to chyba dużo lepsza podstawa o decyzji niż pomysły jednego czy dwóch bezpieczników? Po 25 latach w branży wiem, że to jest jedna z największych bolączek środowiska. Nie ma z kim konsultować. Portale społecznościowe i rozwój komunikacji via Internet poprawił nieco sytuację, ale nadal problemem jest to, że nie zawsze jest z kim skonsultować .

Po trzecie przepis prawa. Tutaj wprost wystarczy wskazać naruszoną normę czyli art 32 dodatkowo potencjał (niewspieranie IOD-a – 38.2). Plus oczywiście sankcje. 

Podsumowanie

W związku z ogromnym zainteresowaniem audytem będziemy kontynuować artykuły w podobnej formie zarówno na naszych łamach jak i na zaproszenie Europejskiej Akademii Bezpieczeństwa i Ochrony. Zachęcamy też do przeczytania artykułu o audycie RODO:

Czytaj: Audyt RODO