Czym jest audyt powdrożeniowy?

Należy pamiętać, że wdrożenie nowego systemu czy procesu nigdy nie kończy finalnych prac nad nim. Zawsze powinniśmy przeprowadzić audyt powdrożeniowy, dzięki któremu zlokalizujemy luki i sprzeczności mogące mieć krytyczny wpływ na nasze procesy biznesowe.  Audyt pozwala odpowiedzieć na pytania, czy zostały osiągnięte cele zakładane wstępnie oraz czy w nowych warunkach istotne dla działalności organizacji procesy mogą być jeszcze bardziej efektywne. Wreszcie audyt taki pozwala stwierdzić, czy wdrożenie w całości zakończyło się sukcesem, zdefiniować protokoły rozbieżności oraz dalsze wytyczne bądź procedury naprawcze.

Ochrona danych osobowych w organizacji jest procesem ciągłym, opartym na cyklu Deminga, mającym na celu stałe doskonalenie i ulepszanie. Graficznie cykl ten jest przedstawiany w postaci koła składającego się z czterech fragmentów: zaplanuj, wykonaj, sprawdź i popraw.

Cykl Deminga RODO
Źródło: https://ikmj.com/pdca-cykl-deminga/

RODO nie jest zbiorem gotowych rozwiązań ani podpowiedzi. Nie istnieje jeden uniwersalny algorytm postępowania prowadzący do spełnienia wymagań rozporządzenia, który pozwoli na prawidłowe wdrożenie przepisów o ochronie danych osobowych. RODO tworzy pewne ramy, a naszym zadaniem jest ich wypełnienie. Każda firma musi stworzyć swój indywidualny system ochrony danych, co pozwoli Administratorowi (ADO) na dostosowanie go do swoich potrzeb.

Rodzaje audytu powdrożeniowego:

  1. audyt mający na celu sprawdzenie prawidłowości przestrzegania przepisów unijnych RODO oraz krajowych UODO, może być przeprowadzony u ADO przez podmiot zewnętrzny lub  własnymi silami (IOD),
  2. audyt u Procesora jest realizowany na zlecenie ADO, który chce sprawdzić czy podmiot któremu zamierza lub już powierzył przetwarzanie jest wiarygodny tzn. czy przetwarza i chroni prawidłowo dane osobowe (art. 28 RODO).

Jeżeli ADO zleca u siebie audyt, to jego celem jest poznanie słabych punktów, czy  błędów w zakresie ochrony danych osobowych, a to skutkuje w praktyce pełną współpracą z audytorem. W przypadku Procesora, audyt nie leży w jego interesie, ponieważ jest zlecony przez ADO badającego rzetelność przetwarzania danych, które powierza. W takim wypadku przebieg współpracy może nie być bezkonfliktowy.

Niezależnie od rodzaju audytu są pewne stałe punkty interesujące audytora:

  • zagadnienie organizacyjno –prawne (dokumentacja, upoważnienia, umowy powierzenia),
  • zabezpieczenia i funkcjonalność systemów IT oraz bezpieczeństwo fizyczne,
  • podstawy prawne, czyli realizacja w praktyce zasad i przesłanek umożliwiających przetwarzanie danych osobowych zgodnie z RODO,
  • realizacja praw właścicieli danych,
  • sposoby reakcji na zaistniałe w przeszłości  naruszenia (incydenty),
  • sposób przekazywania danych osobowych poza EOG.

Podstawą sprawnie i prawidłowo przeprowadzonego audytu powdrożeniowego jest przygotowana przez audytora lista pytań audytowych, uwzględniająca zakres i stopień szczegółowości badania. Dlatego tak istotne jest, aby audytor potrafił pytaniami zidentyfikować potrzeby ADO oraz ocenił i dokonał analizy, czy przyjęte rozwiązania są dla Administratora właściwe. Audytor musi posiadać wiedzę o tym, jak szukać i czego szukać. Zatrudnienie audytora zewnętrznego, tzn. firmy specjalizującej się w tematyce ochrony danych oznacza, że  nie wykorzystujemy do niego własnych pracowników, np. IOD. Pomimo, że specyfika i cel audytów (pkt 1,2)  jest inny, to na razie z uwagi na płytkość rynku wykonują go te same podmioty audytorskie.

Czym się kierować przy wyborze audytora?

Audyt dotyczący ochrony danych osobowych powinien być przeprowadzony rzetelnie, ponieważ w przeciwnym wypadku działania te nie mają sensu. Już na etapie wyboru audytora należy bardzo dokładnie przyjrzeć się kandydatowi/podmiotowi. Działalność audytora ODO – w odróżnienie od biegłych rewidentów badających sprawozdania finansowe – nie jest jeszcze  prawnie  regulowana,  dlatego przed powierzeniem mu zadania należy sprawdzić jego doświadczenie, znajomość specyfiki branży,  przyjrzeć się jego referencjom, zrealizowanym projektom, porozmawiać na tematy merytoryczne lub nawet zlecić wycinkowe zadanie z obszaru ochrony danych i w ten sposób sprawdzić jego wiedzę i fachowość.

Bardzo dokładnie należy ustalić zakres przedmiotu umowy, tzn. czy poza stwierdzeniem konkretnych niedociągnięć audytor przedstawi nam wnioski poaudytowe, szczegółowe rekomendacje dalszych działań i czy zaoferuje swoją pomoc (na jakich warunkach) w ich wdrażaniu. Istotne jest zawarcie klauzuli o poufności  lub odrębnej umowy o zachowaniu poufności NDA (non–disclosure agreement) oraz umowy powierzenia  przetwarzania danych. Nie mniej ważne jest zagwarantowania sobie odpowiedniego składu zespołu audytorskiego oraz praw autorskich do raportu audytowego.

Dlaczego zasadne jest przeprowadzenie audytu powdrożeniowego w zakresie RODO

Od dnia 25 maja 2018 r we wszystkich krajach Unii obowiązuje rozporządzenie RODO i od tej daty wszystkie podmioty mają obowiązek w swojej działalności stosować jego przepisy, których brak wdrożenia może skutkować znaczącymi konsekwencjami: zastosowanie środków naprawczych,  kary finansowe, odpowiedzialność karna, cywilna, dyscyplinarna oraz utrata reputacji przez firmę. Ustawodawca unijny  zapewnił czas na przygotowanie się do obowiązujących zmian dając 2-letnie vacatio legis. Część podmiotów  wdrażających nowe standardy  jeszcze przed obowiązującą datą  skorzystała z pomocy wyspecjalizowanych ekspertów zewnętrznych (kancelarie, firmy doradcze). Znacząca  jednak większość przedsiębiorców zrobiła to we własnym zakresie i w ograniczony sposób,  posługując się dostępnymi materiałami, poradnikami, wzorami itd., które z uwagi na brak w tym czasie ostatecznych rozwiązań prawnych czy interpretacji, nie zawsze były prawidłowe. Wielu przedsiębiorców wprowadzając w swoich firmach nowe przepisy o ochronie danych osobowych nie miało możliwości uwzględnić  zapisów krajowej ustawy o ochronie danych osobowych opublikowanej 24 maja 2018 r.,  a regulującej np. zapisy Kodeksu Pracy, czy zasady monitorowania wizyjnego i elektronicznego.

Aktualnie jest procedowany w Sejmie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania przepisów RODO. Akt ten wprowadzi zmiany w kolejnych 168 ustawach branżowych, co będzie miało na pewno znaczący wpływ na prawidłowość dokonanych dotychczas wdrożeń. Ponadto UODO bardzo późno, bo praktycznie na przełomie maja/czerwca 2018 r. rozpoczął publikację rekomendacji, wytycznych, porad oraz  organizacji szkoleń dla Inspektorów Ochrony Danych (IOD), a do tego istniejący konflikt kompetencyjno-interpretacyjny pomiędzy Urzędem Nadzoru a Ministerstwem Cyfryzacji również nie ułatwia pozyskiwania rzetelnych informacji przez podmioty rynkowe, które mogą się czuć trochę zdezorientowane.

Pragnę podkreślić, że zgodność przetwarzania danych osobowych w firmie z obowiązującymi przepisami prawa nie jest jednorazowym wdrożeniem procedur i dokumentacji, lecz bieżącym monitorowaniem przyjętych rozwiązań pod kątem ich prawidłowości, adekwatności, aktualności i celowości. Podejście do ochrony danych wynikające z RODO zobowiązuje do aktywnej postawy, której wynikiem powinna być szybka reakcja na zmieniające się warunki przetwarzania danych, tj. zakres, cel, czy też krąg odbiorców danych, skutkująca stosowaniem środków bezpieczeństwa i procedur odpowiednich do pojawiających się zagrożeń. Tak znaczące opóźnienia prac i regulacji legislacyjnych powoduje konieczność dokonania sprawdzeń prawidłowości naszych wdrożonych wcześniej procedur, procesów, dokumentacji.

Podsumowując

Biorąc pod uwagę  że mamy już prawie  9 miesięcy doświadczenia stosowania RODO  na pewno warto zastanowić się nad weryfikacją  i ewentualną aktualizacją dokonanego wdrożenia. Zwłaszcza, że wdrożenie nowych przepisów nie jest procesem jednorazowym i zakończonym, ale dynamicznym, który stale trwa i ciągle się zmienia. Warto przeprowadzić audyt powdrożeniowy, który zweryfikuje czy zostały prawidłowo uchwycone zmiany w zmieniających się procesach lub czy  zidentyfikowano nowe. Pamiętajmy, że cena niedostosowania się do przepisów RODO jest dużo wyższa niż jakiekolwiek nakłady poniesione na przestrzegania prawa.

Z opublikowanego niedawno Raportu amerykańskiej firmy IT Cisco Systems wynika, że firmy które prawidłowo dostosowały swoją działalność do przepisów RODO w porównaniu z firmami nieprzygotowanymi:

  • były o 15 % mniej narażone na incydenty,
  • miały mniejszą  o 133 .000  rekordów liczbę wycieku danych,
  • poświęcały o 3 godziny mniej czasu na  przywrócenie sprawności systemu IT.

Badanie przeprowadzono na podstawie ankiet ponad 3200 ekspertów ds. bezpieczeństwa z 18 krajów świata.

* RODO – rozporządzenie Parlamentu Europejskiego  i Rady (UE) 2016/679 z 27 kwietnia 2016r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia  o ochronię danych)

 

Teresa Grabowska
Prezes Zarządu ECDP ODO Sp. z o.o.

 

11 lutego 2019