Już niebawem wejdą w życie przepisy ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), potocznie zwanego RODO.
Jedną z ważniejszych zasad jaką wprowadza RODO, jest rozliczalność, rozumiana nieco inaczej niż dotychczas. Według przepisów, które zostają uchylone z dniem wejścia w życie RODO, oznaczała możliwość przypisana operacji na danych konkretnej osobie lub procesowi. Według nowych przepisów rozliczalność oznacza, że:
Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). (art. 5.2 RODO)
Takie rozwiązanie ma na celu ustanowienie rzeczywistej i faktycznej ochrony danych osobowych, a nie jak dotychczas skupienie się na dokumentacji. Pod obecnie obowiązującymi przepisami ukształtował się pogląd, że wystarczy aby organizacja posiadała dwa dokumenty określone w Rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych i już uzyskana jest tzw. zgodność z przepisami prawa. Mowa oczywiście o Polityce Bezpieczeństwa Danych Osobowych i Instrukcji Zarzadzania Systemem Informatycznym służącym do przetwarzania danych osobowych, opisanych precyzyjnie w cytowanym Rozporządzeniu MSWiA.
Według RODO ilość dokumentacji obowiązkowej jest ograniczona, a dodatkowo fakultatywna. Np. w przypadku rejestru czynności przetwarzania danych osobowych jest on wymagany dla organizacji zatrudniających więcej niż 250 osób (dodatkowo są jeszcze inne warunki), czy dla oceny wpływu dla ochrony danych (DPIA), konieczne jest zaistnienie wysokiego prawdopodobieństwa naruszenia praw lub wolności.
Jak w takim razie wykazać zgodność?
W zarządzaniu bezpieczeństwem informacji od lat funkcjonuje rozwiązanie opisane w normie ISO 27001, nazywane Deklaracją Stosowania. Jest to wykaz wdrożonych zabezpieczeń, wraz z uzasadnieniem ich wyboru. Ważne jest, aby w trakcie audytu „zerowego” czy też „startowego”, (wykonywanego przed wdrożeniem nowych rozwiązań), zidentyfikować już istniejące zabezpieczenia. Zarówno organizacyjne jak i techniczne (podział z RODO).
Jeden z wiodących dokumentów na których pracujemy w trakcie szkolenia – Certyfikowany Audytor Bezpieczeństwa zawiera wszystkie elementy z Deklaracji Stosowania, a więc może być bardzo dobrym przewodnikiem, po zabezpieczeniach.
Audyt zgodności a audyt bezpieczeństwa
RODO wymaga wdrożenia rozwiązań odpowiednich do zagrożeń. Mówi o tym art. 32.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, (…)
Oznacza to, że sama identyfikacja zabezpieczeń, czy samo wykonanie dokumentacji wymaganej bądź dobrowolnej, nie oznacza jeszcze pełnej zgodności z przepisem. Drugim etapem oceny musi być ocena adekwatności stosowanych zabezpieczeń do zidentyfikowanego ryzyka.
Tu z pomocą przychodzi drugie rozwiązanie. Jest to Indeks Bezpieczeństwa, który zbudowany jest na zasadzie „myślenia opartego o ryzyko”, zaszytego w RODO. Z technicznej strony Indeks oparty jest o średnią ważoną zastosowanych środków w odniesieniu do prawdopodobieństwa i skutku. Środki ochrony są skatalogowane w pięć grup (filarów bezpieczeństwa) oraz dodatkowo pogrupowane w skale wpływu na dane zagrożenie lub dany skutek.
Metody audytu
Aby zebrać właściwe dane do oceny, czy nasze rozwiązania są:
- Po pierwsze wdrożone
- Po drugie adekwatne
musimy dobrać właściwe metody audytowania.
Dość częstym błędem w przypadku audytu jest zbytnie skupienie się na technikach interaktywnych, wykonywanych zdalnie, tj. np. ankietach wysyłanych do uczestników procesów bezpieczeństwa, czy wywiady z pomocą środków komunikacji elektronicznej. Takie gromadzenie dowodów z audytu, mimo że dość wygodne może być obarczone błędem, szczególnie jeśli mówimy o realizacji konkretnych czynności (logowanie, wystawianie upoważnień etc.). W tym przypadku zalecane formy to obserwacja, niezależnie czy na miejscu czy zdalna, np. przegląd próbek zapisu z systemu CCTV, czy logów systemowych przesłanych do analizy.
Podsumowanie
Audyt bezpieczeństwa, jako narzędzie zarządcze może w dużym stopniu pomóc organizacjom w wykazaniu zgodności z RODO. Ważne jest jednak, aby pamiętać o kilku kluczowych sprawach:
- Audyt zgodności (compliance) nie jest jedynym działaniem wymaganym w RODO
- Ocena adekwatności stosowanych zabezpieczeń w zależności od poziomu ryzyka naruszenia praw i wolności powinna być wykonywana jako spełnienie wymagania z art. 5.2 RODO (rozliczalność)
- Aby oba etapy były właściwie zrealizowane, powinniśmy pamiętać o właściwych metodach audytu.
