Czy audyt RODO jest obowiązkowy

Autor: Aneta Grala pod red. Marcina Soczko — w kategorii Blog — 30 kwietnia 2021

30

kwi
2021

Z przepisów RODO nie wynika wprost obowiązek przeprowadzania audytu. Natomiast obowiązkowe jest regularne dokonywanie przeglądów i oceny skuteczności wdrożonych zabezpieczeń, co wynika z art. 24 ust. 1 oraz art. 32 ust. 1 lit. d RODO, a także motywu (39). Jednak ani RODO, ani polskie ustawy nie narzucają zastosowania konkretnych rozwiązań w tym zakresie, pozostaje to zatem w gestii administratora. To ADO decyduje w jaki sposób będzie realizował te obowiązki i zapewni zgodność z RODO. Może być to zatem stała, wyrywkowa kontrola, lub cykliczna całościowa, jak audyt.

Niezależnie od wybranego rozwiązania / narzędzia zapewniającego kontrolę zgodności z RODO i skuteczności zabezpieczeń, należy pamiętać, aby w trakcie tych czynności realizować zasadę rozliczalności.

Zasada rozliczalności unormowana jest w art. 5 ust. 2 RODO i wskazuje, że administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie. Oznacza to, że ma on obowiązek dokumentowania wszelkich działań wynikających z RODO w formie dowodu, w sposób umożliwiający przedstawienie go na wezwanie, np. w trakcie kontroli Urzędu Ochrony Danych Osobowych. Administrator na każdym etapie procesu przetwarzania danych osobowych powinien móc udowodnić, że stosuje się do zasad dotyczących ochrony danych osobowych wymienionych w RODO.

Realizację obowiązku rozliczalności działań audytowych zgodnie z RODO mogą zapewnić notatki, kopie pism lub maili, odpowiednia dokumentacja pracownicza, zgody osób fizycznych na przetwarzanie danych osobowych, procedury oraz same raporty z przeprowadzanych audytów. Z cyklicznych audytów również należy sporządzać raporty w celu udokumentowania jego odbycia oraz wskazania zakresu.

Jaką wybrać metodę kontroli zgodności z RODO? Czy audyt RODO jest potrzebny?

Wdrożenie RODO i jego stałe stosowanie w trakcie prowadzonej działalności nie polega jedynie na jednorazowym przygotowaniu dokumentacji. Kontrola zgodności z RODO będzie zależała od dojrzałości organizacji w tym zakresie:

  1. Audyt wstępny – w przypadku istniejącej lub rozwijanej działalności, w której do tej pory nie zweryfikowania stosowania RODO w pełnym zakresie, bądź w przypadku rozpoczęcia nowej działalności – zwykle będzie prowadził do przygotowania i wdrożenia niezbędnych procedur, rozwiązań, formularzy czy wzorów innych dokumentów.

  2. Audyty okresowe – przy cyklicznym podejściu do ochrony danych osobowych, całość podejmowanych działań (np. w trybie rocznym) może objąć m.in.:

    • przeszkolenie personelu, w zakresie odpowiadającym na zmieniające się okoliczności wpływające na przetwarzanie danych,

    • kontrolę skuteczność środków bezpieczeństwa przetwarzanych danych,

    • sprawdzenie zgodności z przepisami w każdym aspekcie,

    • zachowanie zasady privacy by design (czyli obowiązek ochrony danych osobowych w fazie projektowania nowych rozwiązań).

Dostosowanie się do przepisów dotyczących ochrony danych osobowych (zawartych w RODO, ale również krajowych przepisów szczególnych, które się zmieniają) zazwyczaj jest procesem, uzależnionym od wielu czynników takich jak zasoby finansowe, organizacyjne, personalne czy odpowiednia ilość czasu jaki trzeba nań poświęcić. Administrator ma swobodę wyboru co do sposobu przeprowadzania audytów, tak aby były one efektywne, adekwatne do okoliczności, dostosowane do charakteru jego działalności i zakresu przetwarzanych danych osobowych.

Co może być przedmiotem audytu?

UODO wskazuje, że administrator ma obowiązek przedstawić dowody na przestrzeganie przepisów RODO, tj. m.in. że organizacja:

  • stosuje podstawowe zasady przetwarzania danych opisane w art. 5 RODO we wszystkich procesach przetwarzania danych osobowych,

  • realizuje prawa osób, których dane dotyczą,

  • zapewnia bezpieczeństwo przetwarzania danych osobowych oraz stosuje przepisy dotyczące postępowania w przypadku wystąpienia naruszeń ochrony danych osobowych,

  • wypełnia obowiązki administratora, również w związku z powierzeniem przetwarzania danych osobowych innemu podmiotowi,

  • realizuje wymagania w zakresie przekazywania danych osobowych do państw trzecich.

Podkreślenia wymaga, że – jak wskazuje art. 32 RODO – administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W tym, np. w stosownych przypadkach regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

RODO wskazuje zatem wprost, iż czynności te powinny być cykliczne, a zatem mogą to być i powinny m.in. regularne przeglądy zamków w drzwiach i oknach, przeglądy kart dostępu i zakresów uprawnień, weryfikacja aktualności programów antywirusowych i innych środków bezpieczeństwa.

Krajowe przepisy implementujące dyrektywę dotyczącą ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości idą jeszcze dalej w precyzowanie obszarów podlegających nadzorowi administratora. Zgodnie z art. 39 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, administrator i podmiot przetwarzający stosują zabezpieczenia danych osobowych zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, które w szczególności mają na celu:

  • kontrolę dostępu do sprzętu – uniemożliwienie osobom nieuprawnionym dostępu do sprzętu używanego do przetwarzania,

  • kontrolę nośników danych – zapobiegnięcie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych,

  • kontrolę przechowywania – zapobiegnięcie nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych,

  • kontrolę użytkowników – zapobiegnięcie korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych,

  • kontrolę dostępu do danych – zapewnienie osobom, uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem,

  • kontrolę przesyłu danych – umożliwienie zweryfikowania i ustalenia podmiotów, którym dane osobowe zostały lub mogą zostać przesłane lub udostępnione, za pomocą sprzętu do przesyłu danych,

  • kontrola wprowadzania danych – umożliwienie następczej weryfikacji i ustalenia, które dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania, kiedy i przez kogo,

  • kontrolę transportu – zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych,

  • odzyskiwanie – zapewnienie przywrócenia zainstalowanych systemów w razie awarii,

  • niezawodność i integralność – zapewnienie działania funkcji systemu, zgłaszania występujących w nich błędów oraz odporności przechowywanych danych na uszkodzenia powodowane błędnym działaniem systemu.

Według wytycznych UODO proces zarządzania bezpieczeństwem jest powtarzalny i składa się z następujących po sobie cyklicznie działań (zgodnie z Cyklem Deminga).

deming

Należy zatem podejmować i dokumentować wszystkie działania, które będą się zawierały w procesie zarządzania bezpieczeństwem informacji w ramach systemu ochrony danych osobowych. Po pierwsze, zaplanowanie środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka. Po drugie, wdrożenie tych środków zgodnie z Planem postępowania z ryzykiem. Po trzecie, sprawdzenie skuteczności wdrożonych środków (w tym również organizacyjnych, jak np. procedury) i stopnia ich oddziaływania na zidentyfikowane ryzyko. Po czwarte, weryfikacja Planu postępowania z ryzykiem, jeśli ryzyko szczątkowe jest wciąż nieakceptowalne.

Jak często przeprowadzać audyt RODO?

Nawet mimo dołożenia największych starań w trakcie wdrożenia RODO, należy mieć na względzie, że w trakcie prowadzonej działalności wraz z upływem czasu wiele okoliczności zmienia się mniej lub bardziej dynamicznie, np. warunki na rynku, przepisy, zasoby administratora, procesy mające wpływ na przetwarzanie danych osobowych, stały rozwój technologii, zagrożenia, a wreszcie zmianie ulega także personel, który nawet mimo właściwego przeszkolenia, czasem popełnia błędy. Kumulacja zmian, a czasem nawet jedna, ale istotna, jest warunkiem wystarczającym do przeprowadzenia audytu.

Przykłady zmian wokół i wewnątrz organizacji, mających na nią znaczący wpływ:

  • zmiana przepisów polskich ustaw będących podstawą przetwarzania danych osobowych,

  • pandemia wirusa COVID-19 i związane z nią ograniczenia i zmiany na rynku,

  • wprowadzenie nowych rodzajów działań marketingowych w celu pozyskania klienta,

  • rozszerzenie działalności danego przedsiębiorstwa,

  • utrata skuteczności stosowanych zabezpieczeń informatycznych wskutek wykrycia nowych podatności lub pojawienia się nowych rodzajów zagrożeń,

  • rozpoczęcie współpracy z nowym kontrahentem,

  • wygaśnięcie licencji na program antywirusowy lub inne środki bezpieczeństwa,

  • zmiana stanowiska przez kluczowego pracownika,

  • prowadzenie działalności w nowej lokalizacji, np. nowy magazyn, sklep, oddział,

  • problemy techniczne w stosowanych zabezpieczeniach, np. awaria zamka, częste awarie zasilania, zalanie, w tym również incydenty w podmiotach, którym zleca się przetwarzanie danych osobowych, jak np. dostawca hostingu poczty elektronicznej lub chmury obliczeniowej.

Przytoczone wyżej przykłady okoliczności wymagających dokonania przeglądu systemu ochrony danych osobowych wskazują jak bardzo dynamiczne i różnorodne są procesy, które składają się na zapewnienie zgodności z RODO.

W większej organizacji, zwłaszcza w przypadkach wymienionych w RODO, zasadnym będzie wyznaczenie Inspektora Ochrony Danych, który będzie monitorował przestrzeganie RODO lub zatrudnienie dodatkowej osoby nadzorującej zmiany w tym obszarze, bądź powierzenie tych zadań wyspecjalizowanemu podmiotowi zewnętrznemu.

Należy zatem indywidualnie ocenić częstotliwość, zakres oraz tryb przeprowadzania audytów RODO w danym przedsiębiorstwie. Mając na uwadze zapisy norm ISO w zakresie bezpieczeństwa informacji i opinie ekspertów można przyjąć, że optymalnym cyklem przeprowadzania audytów jest cykl roczny.

Cykliczne audyty RODO oraz ich dokumentowanie zapewniają kontrolę nad realizowanymi procesami przetwarzania danych, a co za tym idzie pewność w razie ewentualnej  skargi osoby, której dane dotyczą oraz uniknięcie negatywnych konsekwencji w przypadku kontroli UODO wskutek takiej skargi czy wystąpienia naruszenia ochrony danych osobowych. Odpowiednio zaplanowane i udokumentowane audyty dają organizacji poczucie bezpieczeństwa.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.