Audyt powdrożeniowy RODO – dlaczego warto

Ogólne rozporządzenie o ochronie danych (RODO) nie jest zbiorem gotowych rozwiązań ani podpowiedzi. Nie istnieje jeden uniwersalny algorytm postępowania prowadzący do spełnienia wymagań rozporządzenia, który pozwoli na prawidłowe wdrożenie przepisów o ochronie danych osobowych. RODO tworzy pewne ramy, a zadaniem organizacji jest ich wypełnienie. Każda instytucja jest zobowiązana do stworzenia swojego indywidualnego systemu ochrony.

Ochrona danych osobowych w organizacji jest procesem ciągłym opartym na cyklu Deminga mającym na celu stałe doskonalenie, ulepszanie. Graficznie cykl przedstawia się jako koło, składające się z czterech fragmentów zaplanuj, wykonaj, sprawdź i popraw. Należy pamiętać, że wdrożenie nowego systemu, czy procesu nigdy nie kończy prac nad nim. Zawsze należy przeprowadzić audyt powdrożeniowy, dzięki któremu można zlokalizować luki i sprzeczności mogące mieć krytyczny wpływ na procesy biznesowe organizacji. Pozwala on odpowiedzieć na pytania, czy zostały osiągnięte cele zakładane wstępnie oraz czy w nowych warunkach istotne dla działalności procesy, mogą być jeszcze bardziej efektywne. Audyt pozwala stwierdzić, czy wdrożenie w całości zakończyło się sukcesem, zdefiniować protokoły rozbieżności oraz dalsze wytyczne bądź procedury naprawcze.

Istnieją dwa rodzaje audytu powdrożeniowego:

  1. Audyt mający na celu sprawdzenie prawidłowości przestrzegania przepisów unijnych RODO oraz krajowych Urzędu Ochrony Danych Osobowych (UODO) może być przeprowadzony u Administratora Danych Osobowych (ADO) przez podmiot zewnętrzny lub własnymi siłami Inspektora Ochrony Danych (IOD)
  2. Audyt u Procesora jest realizowany na zlecenie ADO, który chce sprawdzić czy podmiot któremu zamierza lub już powierzył przetwarzanie jest wiarygodny tzn. czy przetwarza i chroni prawidłowo dane osobowe ( art. 28 RODO)

Jeżeli ADO zleca u siebie audyt to jego celem jest poznanie słabych punktów, czy błędów w zakresie ochrony danych osobowych a to skutkuje w praktyce pełną współpracą z audytorem.

W przypadku Procesora audyt nie leży w jego interesie ponieważ jest zlecony przez ADO badającego rzetelność przetwarzania danych które powierza i wtedy przebieg współpracy może nie być bezkonfliktowy. Nie zależnie od rodzaju audytu są pewne stałe punkty interesujące audytora:

  • zagadnienie organizacyjno–prawne (dokumentacja, upoważnienia, umowy powierzenia),
  • zabezpieczenia i funkcjonalność systemów techniki informatycznej (IT) oraz bezpieczeństwo fizyczne,
  • podstawy prawne czyli realizacja w praktyce zasad i przesłanek umożliwiających przetwarzanie danych osobowych zgodnie z RODO,
  • realizacja praw właścicieli danych,
  • sposoby reakcji na zaistniałe w przeszłości naruszenia (incydenty),
  • sposób przekazywania danych osobowych poza EOG

Podstawą sprawnie i prawidłowo przeprowadzonego audytu powdrożeniowego jest przygotowana przez audytora lista pytań audytowych uwzględniająca zakres i stopień szczegółowości badania. Dlatego tak istotne jest, aby audytor potrafił pytaniami zidentyfikować potrzeby ADO oraz ocenił i dokonał analizy czy przyjęte rozwiązania są dla Administratora właściwe. Audytor musi posiadać wiedzę o tym jak szukać i czego szukać.

Zatrudnienie audytora zewnętrznego tzn. firmy specjalizującej się w tematyce ochrony danych  oznacza, że  nie wykorzystujemy do niego własnych pracowników np. IOD.

Pomimo, że specyfika i cel audytów (pkt 1,2) jest inny to na razie z uwagi na płytkość rynku wykonują go te same podmioty audytorskie.

Audyt dotyczący ochrony danych osobowych powinien być przeprowadzony rzetelnie bo inaczej po prostu nie ma sensu. Dlatego już na etapie wyboru audytora należy bardzo dokładnie przyjrzeć się kandydatowi /podmiotowi. Działalność audytora ODO – w odróżnienie od biegłych rewidentów badających sprawozdania finansowe – nie jest jeszcze prawnie regulowana, dlatego przed powierzeniem mu zadania trzeba sprawdzić jego doświadczenie, znajomość specyfiki branży, przyjrzeć się jego referencjom, zrealizowanym projektom, porozmawiać na tematy merytoryczne lub nawet zlecić wycinkowe zadanie z obszaru ochrony danych i w ten sposób sprawdzić jego wiedzę i fachowość. Bardzo dokładnie należy ustalić zakres przedmiotu umowy tzn. czy poza stwierdzeniem konkretnych niedociągnięć audytor przedstawi nam wnioski poaudytowe, szczegółowe rekomendacje dalszych działań i czy zaoferuje swoją pomoc (na jakich warunkach) w ich wdrażaniu. Istotne jest zawarcie klauzuli o poufności lub odrębnej umowy o zachowaniu poufności NDA (non –disclosure agrement) oraz umowy powierzenia  przetwarzania danych. Nie mniej ważne jest zagwarantowania sobie odpowiedniego składu zespołu audytorskiego oraz praw autorskich do raportu audytowego.

Rozporządzenie RODO obowiązuje od dnia 25 maja 2018 r we wszystkich krajach Unii obowiązuje i od tej daty wszystkie podmioty mają obowiązek w swojej działalności stosować jego przepisy, których brak wdrożenia może skutkować znaczącymi konsekwencjami: zastosowanie środków naprawczych, kary finansowe, odpowiedzialność karna, cywilna, dyscyplinarna oraz utrata reputacji przez organizację. Ustawodawca unijny zapewnił czas na przygotowanie się do obowiązujących zmian dając 2-letnie vacatio legis.

Część podmiotów wdrażających nowe standardy jeszcze przed obowiązującą datą skorzystała z pomocy wyspecjalizowanych ekspertów zewnętrznych (kancelarie, firmy doradcze). Znacząca jednak większość przedsiębiorców zrobiła to we własnym zakresie i w ograniczony sposób, posługując się dostępnymi materiałami, poradnikami, wzorami itd. które z uwagi na brak w tym czasie ostatecznych rozwiązań prawnych czy interpretacji, nie zawsze były prawidłowe. Wielu przedsiębiorców wprowadzając w swoich organizacjach nowe przepisy o ochronie danych osobowych nie miało możliwości uwzględnić zapisów krajowej ustawy o ochronie danych osobowych opublikowanej dopiero 24 maja 2018 r a regulującej np. zapisy Kodeksu Pracy, czy zasady monitorowania wizyjnego i elektronicznego.

Aktualnie jest procedowany w Sejmie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania przepisów RODO. Ten akt wprowadzi zmiany w kolejnych 168 ustawach branżowych co będzie miało na pewno znaczący wpływ na prawidłowość dokonanych dotychczas wdrożeń. Ponadto UODO bardzo późno, bo praktycznie na przełomie maja/czerwca 2018 r. rozpoczął publikację rekomendacji, wytycznych, porad oraz organizacji szkoleń dla Inspektorów Ochrony Danych (IOD), a do tego istniejący konflikt kompetencyjno-interpretacyjny pomiędzy Urzędem Nadzoru a Ministerstwem Cyfryzacji również nie ułatwia pozyskiwanie rzetelnych informacji przez podmioty rynkowe, które mogą się czuć trochę zdezorientowane.

Należy podkreślić, że zgodność przetwarzania danych osobowych w organizacji z obowiązującymi przepisami prawa to nie jest jednorazowe wdrożenie procedur i dokumentacji, lecz bieżące monitorowanie przyjętych rozwiązań pod kątem ich prawidłowości, adekwatności, aktualności i celowości. Podejście do ochrony danych wynikające z RODO zobowiązuje do aktywnej postawy, której wynikiem ma być szybka reakcja na zmieniające się warunki przetwarzania danych, tj. zakres, cel, czy też krąg odbiorców danych, skutkująca stosowaniem środków bezpieczeństwa i procedur odpowiednich do pojawiających się zagrożeń.

Tak znaczące opóźnienia prac i regulacji legislacyjnych powoduje konieczność dokonania sprawdzeń prawidłowości wdrożonych wcześniej procedur, procesów, dokumentacji. Na pewno warto zastanowić się nad weryfikacją i ewentualną aktualizacją dokonanego wdrożenia. Zwłaszcza, że wdrożenie nowych przepisów nie jest procesem jednorazowym i zakończonym, ale dynamicznym, który stale trwa i ciągle się zmienia. Dlatego warto przeprowadzić audyt powdrożeniowy, który da odpowiedź czy zostały prawidłowo uchwycone zmiany w zmieniających się procesach lub czy zidentyfikowano nowe.

Należy pamiętać, że cena niedostosowania się do przepisów RODO jest ewidentnie dużo wyższa niż jakiekolwiek nakłady poniesione na przestrzegania prawa. Z opublikowanego niedawno Raportu amerykańskiej firmy IT Cisco Systems wynika, że organizacje, które prawidłowo dostosowały swoją działalność do przepisów RODO w porównaniu z podmiotami nieprzygotowanymi

  • były o 15 % mniej narażone na incydenty,
  • miały mniejszą o 133.000 rekordów liczbę wycieku danych,
  • poświęcały o 3 godziny mniej czasu na przywrócenie sprawności systemu IT

Badanie przeprowadzono na podstawie ankiet ponad 3.200 ekspertów ds. bezpieczeństwa z 18 krajów świata.


 

Teresa Grabowska – Prezes Zarządu ECDP ODO, manager z ponad 30-letnim doświadczeniem zawodowym, w tym 20-letnim stażem na wysokich stanowiskach kierowniczych w bankach i towarzystwach ubezpieczeniowyuch. Od 2010 roku prowadzi firmę TG-Doradztwo i Zarządzanie wyspecjalizowaną w doradztwie dla zakładów ubezpieczeniowych i firm IT, która organizuje m.in. konferencje i szkolenia wewnętrzne na najbardziej aktualne dla rynku tematy. Prowadzi wykłady, seminaria oraz publikuje artykuły w prasie branżowej.

ECDP ODO, która świadczy usługi dla podmiotów rynkowych w zakresie wdrożenia nowych przepisów o ochronie danych osobowych, audytu powdrożeniowego oraz pomoc w przygotowaniu organizacji do uzyskania certyfikacji. Prowadzi szkolenia dla przedsiębiorstw i innych podniotów gospodarczych w zakresie ochrony danych osobowych oraz warsztaty dla Inspektorów Ochrony Danych.

Instytut Biznesu, 21.03.2019