W świetle ostatnich zdarzeń, kontroli czy incydentów, audyt RODO zaczyna nabierać szczególnego znaczenia. W trakcie analizy czy to decyzji organu nadzorczego, jakim jest Prezes Urzędu Ochrony Danych Osobowych, czy komunikatów firm i organizacji,  dochodzę do wniosku, że wiele z działań było wdrożonych ale… nie było skutecznych. 

Reklama

W tym momencie, patrząc przez zainteresowanie tematyką audytu, dyskusje i wysyp szkoleń z audytu RODO, aż ciśnie się pytanie:

Jak w takim razie były realizowane audyty? I czy na pewno były to audyty?

Audyt, nie audyt…

Niestety, za sprawą mody na nazywanie audytem wszystkiego co ma tylko znamiona oceny albo czasem kontroli, mamy już masę ciekawostek. Audyt zakrętów, audyt półek sklepowych, audyt… już sam nie wiem czego. I w związku z tym jednak obawiam się, że w wielu przypadkach dochodzi do:

  • Kontroli stopnia wdrożenia dokumentacji RODO. Nazywane audytem wdrożeniowym; 
  • Analizy różnic/potrzeb (z angielskiego gap analysis), czyli oceny potrzeby w zakresie RODO;
  • Innych działań, które nie są ani audytem zgodności ani audytem RODO, ale ładnie brzmi prawda?

Przykład audytu: ocena wdrożenia programu testów

Audyt RODO – “zgodnościowy” (cudzysłów wyjaśnię niżej) czy też kontrola wdrażania procedur wymaga sprawdzenia, czy testy opisane w art 32 RODO są zrealizowane. Czy powstała dokumentacja wymagana procedurą testowania (cele testu, zakres, poddane systemy/procesy, wyniki, wnioski i zalecenia). I nagle radośnie IOD mówi mi na spotkaniu, że on sobie PRZEAUDYTOWAŁ testy i działa. 

– Ale co??? – zapytałem

– No procedura! Testy działają! – normalnie prawie pod sufit skakał z radości. Bo przecież testy się udały. Jak to w Polsce. Wszystkie się udają. Testy… i ćwiczenia. 

– Aaaa… testy.. – odpowiedziałem. 

A potem było na smutno. Bo zadałem proste pytanie. Dlaczego nazwał ocenę procesu testowania audytem RODO i mało tego uznał, że jest ZGODNY z RODO. 

Test dowodem

Testowanie i skuteczność wykonania testu jest dowodem z audytu.Potwierdzającym na razie tylko wykonanie czynności. 

Chyba, że celem RODO jest testowanie systemów? Czy może jednak ochrona osoby fizycznej? Podobnie jak art 32 RODO. Jest sam w sobie celem, który należy osiągnąć, czy jednak bezpieczeństwo ma być zapewnione w celu ochrony osób, których dane dotyczą?

Audyt

Wróćmy do audytu RODO. W nim chętnie zobaczę, że mam dowody na planowanie testów, na ich wykonanie. Ale jeszcze będę chciał OCENIĆ (jak to w AUDYCIE) czy owa procedura nie tylko jest realizowana, ale czy jest w celu realizacji celu RODO, a więc:

  • Sensowność planowania testów. Ot.. przykładów masa. A to centrum handlowe w Bełchatowie zaatakowane przez terrorystów z ładunkami. A to szkoła pod Olsztynem i chyba jeszcze w Pabianicach. Chyba, że nie wiem, może te placówki łączy coś ze sobą na tyle, że niespotykani na co dzień u nas terroryści przypuszczają atak z użyciem broni długiej i ładunków wybuchowych… A testy w RODO? Jak są planowane? 
  • Planowanie jako takie. Czyli jakie są cele testów. A zawsze są do najmniej dwa – ocena skuteczności i edukacja aktorów. 
  • Realizacja i notowanie przebiegu. Ot… dla celu 1 i celu 2. Cel 1 – czy to ma sens i czy wszystko ma sens. Cel 2 – czy ludzie wiedzą co robić, a jak nie wiedzą, czy wiedzą gdzie sięgnąć i jak już wiedzą, czy to naprawdę tam jest, a jeśli jest, to czy jest dostępne (ocena dostępności wiedzy dostarczonej najczęściej w formie procedur i instrukcji). 
  • Działania po zakończeniu. Czyli czy była “piąteczka”, “browarek” i “premia” bo się przecież znów udało. Czy jednak… coś bardziej sensownego?

I zasmucę. Na razie to nie jest żadna zgodność z RODO. To jest tylko wykonanie działań opisanych w RODO i wymaganych do zapewnienia ochrony osoby fizycznej. Bo celem RODO nie jest testowanie systemu. A nawet skuteczne testowanie systemu. Teraz należy wziąć to co wynika z testów i odnieść do celu wydania regulacji. Kilka wniosków z jednego z audytów:

  • Ad 1 – sens testowania. Testy dla testów i sprawności realizacji procedury obsługi naruszenia ochrony danych. Efekt działania – świetne komunikaty. Tylko… czy efektem właściwie zaplanowanej odpowiedzi na incydent nie powinno być chronienie przed materializacją ryzyka dla praw i wolności osoby, której dane dotyczą i która została dotknięta naruszeniem? 
  • Ad 2 – planowanie. Brak planowania. Wybrany dowolny element. 
  • Ad 3 – realizacja i notowanie. Brak notowania przebiegu, raport po zakończeniu w terminie 30 dni (sic!).
  • Ad 4 – działanie po zakończeniu.  W sumie nie było, poza tymi 30 dniami. 

Efekty:

  • Ad 1 – niezgodność oraz potencjał doskonalenia. Niezgodność w zakresie podstawowego celu RODO, czyli ochrony osoby fizycznej przed skutkami naruszenia ochrony. Brak działań zmierzających do mitygacji ryzyka. Parafrazując. “Operacja się udała, pacjent nie przeżył”. Ale nie dlatego, że cierpiał na “niechęć do życia”, a dlatego, że operacja była prowadzona dla operacji. 
  • Ad. 2 – niezgodność z art 32 (wprost). Ilość czasu w organizacji przeznaczona na testowanie jest naprawdę ograniczona. W systemie edukacji jest to najwyższa forma szkolenia (ćwiczenia), a w przypadku sprawdzenia jest to metoda na chwilę (co najmniej) wyłączająca działanie organizacji (lub jej części). W związku z czym są to działania bardzo rzadko realizowane. A niezgodność? Proszę – “uwzględniając koszt wdrożenia”. Oraz to, czy naprawdę sprawdzanie nierealnych problemów służy ochronie osoby fizycznej? A może lepiej testować prozaiczne, ale codziennie możliwe do zaistnienia zagrożenia, do tego mogące skutkować naruszeniem jej praw i wolności?
  • Ad 3 – potencjał doskonalenia. Otóż po pierwsze brak rejestracji konkretnych kroków, co spowodowało brak identyfikacji luk czasowych (zbyt długich przestojów w działaniu) oraz pominięte zostały zidentyfikowane jako nowe zagrożenia. Czas raportowania, czyli te 30 dni po całkowicie załamał proces edukacyjny. 
  • Ad 4 – brak słów. 

Jeden (pod)system

Te oceny wyżej znów… nie są jeszcze audytem. One są stwierdzeniem czy konkretne działania były zgodne, niezgodne lub mogły być lepiej zrealizowane. Nadal jednak dostarczają one wiedzy, czyli są dowodami. Na początek o jednym podsystemie. Ilość niezgodności i potencjałów (nawet jeśli niezgodności będą tylko potencjałami), wskazuje że system planowania i realizacji testów jest kolokwialnie pisząc ”sztuką dla sztuki”, czyli w celu zaakcentowania, że jest. Brakuje w nim celu:

 “ochrona osoby fizycznej w związku z przetwarzaniem danych”

Czyli od sensowności (wynikającej z szacowania i oceny ryzyka), przez planowanie (wynikające z kontekstu przetwarzania, analiz i poziomu wyszkolenia pracowników), poprzez realizację (rejestrację sposobu obsłużenia zagrożeń i ryzyk, czyli oceny skuteczności zaplanowanych zabezpieczeń na zagrożenia i na ryzyka), po dostarczenie wiedzy, czy nasz system jest skuteczny i jak go udoskonalić. 

Ale to nadal tylko jeden (pod)system

A ile jeszcze takich “podsystemów” w RODO jest? Np.

Testowanie systemu (rozwiązania) zarządzania uprawnieniami. 

Czyli nadawaniem i cofaniem uprawnień do przetwarzania danych oraz wydawania poleceń do przetwarzania (zgodność z art 29). Sprawdzaliście to, czy działa? Tak, tak… można metodami analizy dokumentacji, można metodami wywiadu, obserwacji. Ale… czy naprawdę zawsze to zadziała? A może jednak test ochrony będzie bardziej wiarygodny? Zobaczymy…

Podsumowanie

Audyt jest jednym z najważniejszych elementów działania każdego systemu zarządzania. Ale najważniejsze, aby go wykonać jest zrozumienie CELU. Nie CELU audytu. CELU systemu zarządzania. Skoro celem ma być spełnienie wymagań RODO, to w pierwszej kolejności należy przeczytać uważnie tytuł aktu. Najlepiej 5 razy. Dla przypomnienia, co jest celem audytu RODO:

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

PS miałem napisać o tym cudzysłowie użytym w kontekście audytu “zgodnościowego” czyli modnego ostatnio compliance. Zgodność literalna z przepisem, nie jest jeszcze zgodnością. Przepisy prawa w zakresie ochrony osób, a są to nie tylko RODO, to też bezpieczeństwo żywności (HACCP – też rozporządzenie jak RODO), to też BHP to też ochrona przeciwpożarowa i wiele innych, wydawane są w celu ochrony osoby fizycznej. A nie w celu posiadania dokumentacji prowadzenia działań często niestety pozorowanych.

Dobrze przeprowadzony audyt pozwoli dostarczyć informacje o tym, że działania nie są skuteczne. Pytanie oczywiście czy warto? Cóż, to może zapytajmy tych, którzy już mają nałożone kary, których postępowania są w toku, albo tych, którzy niebawem będą pozwani lub są. Bo jest taka jedna zasada w RODO (ogólnie w bezpieczeństwie). Można oszczędzać, ale i tak potem będzie trzeba właściwie wdrożyć.