Jak rozpocząć przygotowania do audytu przetwarzania danych osobowych

Jeśli chce się zapewnić zgodność działalności firmy lub instytucji państwowej z RODO, trzeba przeprowadzić kompleksowy audyt we wszystkich sferach, w których w tej organizacji występuje przetwarzanie danych osobowych.

Nie ma jednego obowiązującego schematu takiego audytu. Każdy administrator danych może stworzyć własną procedurę, dzięki której osiągnie przekonanie, że wszystkie procesy oparte na przetwarzaniu danych osobowych są zgodne z RODO. Celowo używam tutaj słowa „przekonanie”, a nie „pewność”, ponieważ zgodnie z art. 24 ust. 1 RODO, administrator zobowiązany jest podejmować odpowiednie środki techniczne i organizacyjne w tym celu, by przetwarzanie odbywało się zgodnie z RODO – jednak środki te w razie potrzeby powinny być poddawane przeglądom i uaktualniane. Zatem już naczelna dyrektywa wynikająca z RODO (a więc obowiązek, aby się do RODO dostosować) zakłada, że żadne rozwiązania nie mogą być traktowane jako odpowiednie na zawsze. Ochrona danych osobowych przetwarzanych przez daną organizację jest procesem ciągłym – raz podjęte środki należy okresowo sprawdzać pod względem ich skuteczności i adekwatności.
 

Przykład

Jeśli w 2018 r. osoba odpowiedzialna w organizacji za bezpieczeństwo danych IT uzna, iż odpowiednim rodzajem zabezpieczenia dostępu do bazy danych przechowywanych w chmurze będzie hasło 8-znakowe, nie oznacza to, że za rok czy za kilka lat takie zabezpieczenie będzie również uznawane za wystarczające. Technika, w tym umiejętności hakerskie i możliwości uzyskiwania zdalnego dostępu do urządzeń, może bowiem rozwinąć się tak dalece, że (czysto hipotetycznie) odpowiednie będą jedynie hasła np. 20-znakowe.

 

Przykład

Firma zatrudniająca trzech pracowników w siedzibie w Gdańsku korzysta z usług firmy zewnętrznej (doradców w zakresie bezpieczeństwa informacji) i przeszkoli tych trzech pracowników z zasad bezpiecznego użytkowania sieci informatycznych, urządzeń mobilnych oraz zasad zapewnienia bezpieczeństwa informacji przechowywanych w formie papierowej. Po upływie roku do zespołu pracowniczego dołączy kolejnych pięć osób w nowo otwartym oddziale w Warszawie. Osoby te zostaną wewnętrznie przeszkolone, tj. jeden z pracowników przekaże nowym osobom zasady, według których na co dzień pracuje ze zbiorami danych. Może się okazać, że podczas tego jednoosobowego szkolenia pracownik zapomniał o jakimś istotnym szczególe lub kilku szczegółach. Jeśli procedury działania pracowników oddziału warszawskiego nie zostaną następnie w żadnym stopniu sprawdzone, może okazać się, że popełniają oni na co dzień jakiś kardynalny błąd. Dlatego odpowiednim środkiem organizacyjnym, który powinien zostać podjęty przez administratora danych w tym przypadku, będą cykliczne sprawdzenia stanu wiedzy wszystkich pracowników oraz – w razie potrzeby – cykliczne szkolenia. Nie wystarczy jednorazowe szkolenie i późniejsze zaufanie, że wiedza zostanie odpowiednio przekazana wszystkim nowym osobom.


Pierwszy krok audytu – inwentaryzacja zasobów, zbiorów danych osobowych lub procesów przetwarzania

Gdy organizacja chce przeprowadzić audyt prawidłowości przetwarzania danych osobowych, w każdym przypadku pierwszym krokiem będzie inwentaryzacja zasobów (baz danych; zbiorów, w których „mieszczą się” dane osobowe – zarówno tych elektronicznych, jak i tych papierowych; ewentualnie od razu inwentaryzacja procesów, w których dochodzi do przetwarzania danych osobowych; ewentual­nie inwentaryzacja zasobów z podziałem na zasoby mate­rialne, niematerialne i osobowe).

Następnie tak zinwentaryzowane zasoby należy ocenić pod kątem spełniania wymogów RODO.

Jednym ze sposobów inwentaryzacji zasobów (aktywów), w których przetwarza się dane osobowe, może być podejś­cie wzorowane na rodzinie norm ISO 27001. W podejściu tym dzieli się aktywa na:

  1. materialne, np. takie jak:
    –   budynek lub konkretne pomieszczenie, w którym przechowywane są dane osobowe w postaci papierowej,
    –   pomieszczenie, w którym znajduje się serwer,
    –   serwer (urządzenie),
    –   infrastruktura sieciowa rozprowadzona w budynku,
    –   konkretne urządzenie końcowe (stacja robocza – komputer stacjonarny, laptop lub inne urządzenie),
    –   papierowe zbiory danych (np. akta osobowe pracowników);
  2. niematerialne, np. takie jak:
    –   oprogramowanie,
    –   aplikacja komputerowa,
    –   baza danych (pracowników, klientów, subskrybentów newslettera);
  3. ludzkie, np. takie jak:
    –   pracownicy administracyjni,
    –   pracownicy działu IT (posiadający szeroki dostęp do wszelkich systemów informatycznych, w których przetwarzane są dane),
    –   pracownicy działu obsługi klienta (posiadający szeroki dostęp do danych osobowych klientów),
    –   pracownicy działu HR,
    –   pracownicy działu księgowości,
    –   personel sprzątający (również w przypadku out­sourcingu usługi sprzątania).

Następnie do tak zinwentaryzowanych aktywów przypisuje się możliwe zagrożenia, a potem dobiera odpowiednie zabezpieczenia stosowne do zidentyfikowanych zagrożeń.

Dla zasobów materialnych zabezpieczenia najczęściej będą przyjmowały postać zabezpieczeń fizycznych oraz organizacyjnych. Na przykład w przypadku zasobu w postaci budynku zagrożeniem może być pożar (wskutek którego zniszczony zostanie serwer i papierowe zbiory danych). Odpowiednim zabezpieczeniem fizycznym będzie odpowiedni system przeciwpożarowy. Dla zasobu w postaci serwera zagrożeniem może być zniszczenie wskutek przegrzania (zabezpieczeniem fizycznym będzie odpowiednia instalacja wentylacyjna i przeciwpożarowa) oraz nieuprawniony dostęp do serwera (zabezpieczeniem fizycznym będzie odpowiednie odseparowanie pomieszczenia serwerowni od reszty budynku, zabezpieczeniem organizacyjnym będzie udostępnienie kluczy do pomieszczenia serwerowni jak najmniejszej liczbie osób – np. tylko głównemu informatykowi, jego zastępcy i zarządowi firmy).

Dla zasobów niematerialnych zabezpieczenia będą najczęściej przyjmowały postać zabezpieczeń technicznych i organizacyjnych. Przykładowo, w wypadku bazy subskrybentów newslettera zabezpieczeniem technicznym będzie:

  1. przechowywanie tej bazy w systemach informatycznych zewnętrznej firmy, która dba o bezpieczeństwo baz,
  2. zabezpieczenie dostępu do tej bazy odpowiednio skomplikowanym hasłem.

Z kolei zabezpieczeniem organizacyjnym będzie:

  1. nadanie uprawnień (posiadanie hasła dostępowego do systemu e-mail marketingowego) jedynie nielicznym, uprawnionym osobom w organizacji,
  2. zadbanie o legalność bazy, tj. pozyskanie odpowiednich zgód i wykonanie odpowiednich obowiązków informacyjnych wobec subskrybentów,
  3. ustanowienie odpowiedniej procedury usuwania danych po upływie okresu ich przydatności (tzw. retencja danych).

Dla zasobów ludzkich zabezpieczenia będą przyjmowały najczęściej postać zabezpieczeń organizacyjnych. Przykładami takich zabezpieczeń będą:

  1. odpowiedni system nadawania poszczególnym pracownikom uprawnień do poszczególnych baz danych (np. w przypadku firmy handlowej, która posiada punkty sprzedaży w różnych miastach Polski, pracownik oddziału w danym mieście ma dostęp do bazy klientów tylko ze swojego regionu, a nie posiada dostępu do danych klientów z pozostałych regionów; inny przykład: dostęp do danych księgowych posiadają tylko pracownicy zajmujący się księgowością, a nie wszyscy pracownicy firmy),
  2. odpowiednie szkolenia pracowników, aby wyeliminować lub znacznie zmniejszyć prawdopodobieństwo wystąpienia błędów ludzkich,
  3. podpisywanie przez pracowników oświadczeń o zachowaniu danych w poufności z zastrzeżeniem kar umownych na wypadek intencjonalnego ujawnienia danych osobom nieupoważnionym.

Powyższe kroki są jednak realizacją jedynie jednego z obowiązków wynikających z RODO, a mianowicie zapewnienia bezpieczeństwa przetwarzania danych osobowych (art. 5 ust. 1 lit. f RODO). W ramach audytu należy natomiast zastanowić się nad innymi aspektami przetwarzania danych wymienianymi przez RODO, takimi jak: legalność, realizacja praw podmiotów danych, rzetelność i przejrzystość, adekwatność (ograniczenie celu) i zasada minimalizacji.

Inny schemat przeprowadzenia audytu prawidłowości procesów przetwarzania danych osobowych może być oparty na założeniu, że bezpieczeństwo danych osobowych należy zapewnić w czterech sferach:

  1. bezpieczeństwo fizyczne – fizyczny dostęp do danych i dokumentów, zabezpieczenia budynku, lokalu i pomieszczeń, w których przechowywane są dane,
  2. bezpieczeństwo organizacyjne – odpowiedzialność osób posiadających dostęp do danych, zadbanie o to, by prawa podmiotów danych mogły być prawidłowo realizowane, wprowadzenie odpowiednich procedur,
  3. bezpieczeństwo prawne – legalność podejmowanych procesów przetwarzania danych, umowy i klauzule zapewniające poufność danych,
  4. bezpieczeństwo technologiczne – rozwiązania zabezpieczające systemy informatyczne i urządzenia, nadzór nad systemami, uporządkowany i sformalizowany dostęp do danych[1].

Jeszcze innym podejściem do audytu organizacji może być zinwentaryzowanie od razu zbiorów danych osobowych występujących w organizacji (np. zbiór pracowniczy, księgowy, klientów, kontrahentów, poszczególne bazy marketingowe) wraz z określeniem systemów i miejsc, w których dochodzi do przetwarzania danych z tych zbiorów. Następnie powyższe zbiory podlegają sprawdzeniu pod kątem poszczególnych aspektów, które reguluje RODO, tj.:

  1. legalność przetwarzania – sprawdzenie, czy administrator posiada podstawę prawną do każdego konkretnego procesu przetwarzania danych osobowych, który u siebie przeprowadza (art. 6 RODO),
  2. ograniczenie celu – sprawdzenie, czy poszczególne procesy przetwarzania danych osobowych nie wykraczają poza cele, co do których administrator jest uprawniony do przetwarzania danych (art. 5 ust. 1 lit. b RODO),
  3. zapewnienie bezpieczeństwa danych, tj. ochrona przed ich utratą, nieuprawnionym dostępem, nieuprawnionym ujawnieniem, niedozwolonym przetwarzaniem (art. 5 ust. 1 lit. f oraz art. 32 RODO),
  4. minimalizacja danych, tj. przetwarzanie tylko danych adekwatnych, niezbędnych do celów, w których dane są przetwarzane (art. 5 ust. 1 lit. c RODO),
  5. minimalizacja okresu przetwarzania (art. 5 ust. 1 lit. e RODO),
  6. rzetelność i przejrzystość przetwarzania danych dla osób, których dane dotyczą, w tym wywiązywanie się z obowiązków informacyjnych (art. 5 ust. 1 lit. a oraz art. 12, 13 i 14 RODO),
  7. zapewnienie realizacji praw podmiotów danych – prawa do informacji, dostępu do danych, bycia zapomnianym, ograniczenia przetwarzania, przenoszenia danych (art. 12, 15, 17, 18, 20 RODO),
  8. zapewnienie odpowiednich wymogów w sytuacji, gdy dane powierzane są innemu podmiotowi w celu przetwarzania (art. 28 RODO),
  9. stworzenie odpowiednich procedur i dokumentacji dotyczącej przetwarzania danych osobowych (m.in. art. 30, 32, 33, 34 i 35 RODO),
  10. sprawdzenie, czy przekazywanie danych osobowych do państw trzecich odbywa się zgodnie z RODO (art. 44 i nast. RODO).

 

  1. Taki podział można znaleźć w: Dariusz Szostek (red.), Bezpieczeństwo danych i IT w kancelarii prawnej, Wydawnictwo Beck, 2018, s. 136 i 64.