Artykuł ukazał się w Magazynie ODO
Autor: Olga Legat
Po trzech latach stosowania RODO przyszedł czas na sprawdzenie, czy rekomendowane w 2018 r. rozwiązania zostały wprowadzone, czy wrodzenie ich było prawidłowe i czy działają one efektywnie. Przy okazji warto zweryfikować samą procedurę regulująca okresowe testowanie mierzenie i ocenianie skuteczności środków zabezpieczających – powinna ona określać nie tylko metody i regularność sprawdzania środków bezpieczeństwa, ale także sposoby gromadzenia dowodów.
Bezpieczeństwo danych osobowych nigdy nie wychodzi z mody, a rosnąca liczba naruszeń zgłaszanych do Prezesa Urzędu Ochrony Danych Osobowych wskazuje, że najprawdopodobniej jeszcze wiele na tym polu jest w Polsce do poprawienia (dla porównania: w 2018 r. 2446 zgłoszeń, w 2019 r. 6039, a w 2020 r. 7507 – źródło: Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2020, s. 136). Naruszenia są także tematem poruszanym przez Europejską Radę Ochrony Danych w 2021 r. w wytycznych dotyczących zgłaszania naruszeń, gdzie przedstawiono wiele przykładów incydentów wraz z ich oceną. Od początku pandemii, kiedy na znaczeniu zyskała praca zdalna, bardzo wyraźnie wskazywano na rosnący problem phishingu i trudno spodziewać się, aby miał on stracić na znaczeniu.
Zgodnie z art. 32 ust. 1 lit. d) RODO regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest jednym ze środków, dzięki którym administrator czy podmiot przetwarzający zapewniają odpowiedni stopień bezpieczeństwa danych.
3 lata RODO – najwyższy czas na rewizję założeń
Wielu praktykom ochrony danych osobowych znane są wykresy obrazujące jak powinien wyglądać model zarządzania bezpieczeństwem informacji w organizacji:
Źródło obrazu: Europejski Inspektor Ochrony Danych, Guidance Security Measures for Personal Data Processing Article 22 of Regulation 45/2001, dostępne pod adresem: https://edps.europa.eu/sites/edp/files/publication/16-03-21_guidance_isrm_en.pdf#:~:text=In%20the%20context%20of%20processing%20personal%20data%2C%20risks,specific%20context%20in%20which%20personal%20data%20is%20processed.
W założeniu, od 2018 r. każda organizacja przetwarzająca dane osobowe powinna była przejść już etap ustalenia kontekstu, identyfikacji ryzyka, jego analizy i oceny, a następnie podjęcia środków w celu zaradzenia ryzyku, konsultacji i akceptacji ryzyka resztkowego. Obecnie, po 3 latach obowiązywania RODO, należy przejść do kolejnego etapu – czyli weryfikacji ryzyka i środków zaradczych. Jest to szczególnie istotne również dlatego, że pandemia przyniosła ze sobą zmianę intensywności dotychczas identyfikowanych ryzyk oraz nowe – które w pierwotnych analizach mogły nie być brane pod uwagę.
Temat regularnego testowania środków bezpieczeństwa był już poruszany w decyzjach administracyjnych Prezesa Urzędu Ochrony Danych Osobowych. Wnioski z nich płynące przedstawię w dalszej części artykułu.
Regularność, czyli zaplanowana rewizja i czas
Po pierwsze, regularne testowanie to proces, który powinien znaleźć swoje odzwierciedlenie w postanowieniach procedur i polityk ochrony danych osobowych. Jak zauważył Prezes Urzędu Ochrony Danych Osobowych w decyzji dotyczącej naruszenia – ataku ransomware na systemy uzdrowiska w czasie pandemii (znak DKN.5130.2815.2020):
„Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.”
Podobne wnioski można wysnuć także z decyzji PUODO w sprawie Virgin Mobile (znak DKN.5112.1.2020, uchylona w październiku 2021 r.), gdzie Prezes podkreślił, że przyjęte środki bezpieczeństwa mogłyby być skuteczne, ale tylko gdyby we wdrożonych procedurach przewidziano również postanowienia dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo oraz gdyby postanowienia te były faktycznie przestrzegane.
Wydaje się, że unormowanie regularnego testowania w procedurze czy wewnętrznej polityce ochrony danych osobowych powinno zawierać co najmniej następujące elementy:
- określenie, jakie czynniki zawsze, bez względu na upływ czasu, wyzwalają konieczność dokonania ponownej analizy ryzyka i wdrożonych środków – np. zmiana dostawcy rozwiązania do przetwarzania danych osobowych (por. karę w sprawie Virgin Mobile), wprowadzanie nowych funkcjonalności czy ulepszeń (por. karę nałożoną przez Irlandzki organ na Irish Credit Bureau, DPC Case Reference: IN-19-7-2) czy restarty systemów (por. decyzję w sprawie ID Finance, znak DKN.5130.1354.2020, częściowo uchylona w październiku 2021);
- określenie okresu, w jakim odbywają się regularne, niezależne od powyższych wydarzeń, audyty bezpieczeństwa;
- określenie przyjętej metody – czy regularnie badana jest cała organizacja, czy też jedynie jej części i w jaki sposób są one wybierane;
- określenie obszarów krytycznych (np. marketing), które podlegają częstszemu sprawdzaniu i wskazanie okresu takich audytów;
- funkcje odpowiedzialne za przeprowadzenie audytów, ich nadzór, przyjęcie wniosków i pieczę nad wdrażaniem nowych środków bezpieczeństwa.
Nasuwa się oczywiście pytanie, jak należy rozumieć w kontekście art. 32 ust. 1 lit. d) RODO regularność. Oczywiście będzie to oznaczało, że testowanie i mierzenie musi odbywać się w określonych i powtarzających się odstępach czasu, ale jakie powinny to być okresy? Virgin Mobile, podejmując działania zaradcze po naruszeniu ochrony danych zdeklarowała, że będzie testować zgodność z poszczególnymi normami ISO – co roku. To krótki okres czasu, jednak jest przyjmowany przez organizacje, które przetwarzają dużą ilość danych osobowych, dla przykładu w imieniu swoich klientów – roczny okres sprawdzenia jest stosowany na przykład do audytów SOC 2.
Irish Credit Bureau we wspomnianym wyżej postępowaniu zdeklarował się, że będzie dokonywać weryfikacji swojej zgodności z normą ISO 27001 co dwa lata. Jest to również okres odpowiadający okresowi dostosowawczemu pomiędzy przyjęciem a wejściem w życie RODO oraz okres aktualizacji wytycznych przyjętych przez TeleTrustIT i ENISA – IT Security Act (Germany) and EU General Data Protection Regulation. Guideline „State of the art”. Technical and organisational measures 2021. Okres dwuletni wydaje się również mniej obciążający organizacyjnie i finansowo dla organizacji niż okres roczny, a jednocześnie dość krótki, aby móc nadążyć za obecnym tempem zmian technicznych i zmian w praktyce orzeczniczej organów nadzorczych.
Bardzo ciekawym podejściem stosowanym przez wiele organizacji jest metoda stopniowego testowania organizacji w częściach – tj. losowania jednostek organizacyjnych administratora do sprawdzenia i prowadzenie tego rodzaju audytów w sposób ciągły. Jest to metoda stosowana przez wiele grup kapitałowych i ma wiele zalet. Po pierwsze, poziom bezpieczeństwa może zostać zwiększony poprzez fakt, że każda jednostka w każdej chwili (o ile nie została niedawno sprawdzona) może spodziewać się audytu. Po drugie, wyrywkowe sprawdzanie działów powoduje, że całość organizacji nie jest nagle i w sposób nadmierny obciążona – audyt obejmuje jej część i trwa znacznie krócej niż sprawdzenie całości organizacji. Po trzecie – możliwe jest zapewnienie zrównoważonego systemu pracy dla zespołu audytowego, który może działać w sposób ciągły a nie w okresowych sprintach. Wprowadzenie takiego modelu testowania nie powinno jednak pomijać konieczności częstszego testowania newralgicznych działów oraz testowania w sytuacjach wyjątkowych.
Dodatkowo, niektóre czynniki muszą być monitorowane w sposób stały. Najbardziej chyba znanym przykładem jest konieczność monitorowania ruchu sieciowego w sposób ciągły – o czym przekonało się Morele.net (decyzja PUODO znak ZSPR.421.2.2019, utrzymana wyrokiem WSA sygn. II SA/Wa 2559/19).
Działania sprawdzające
Wydaje się, że rok 2018 i pośpieszne wdrożenia RODO w wielu organizacjach mogą nieść za sobą konsekwencje różnego rodzaju, w tym m.in.:
– brak realnego wdrożenia polityk i procedur w organizacjach – w praktyce częstą sytuacją jest, że przekazany przez doradcę zestaw procedur nie został uzupełniony o niezbędne informacje (do tej pory w niektórych politykach prywatności można odnaleźć fragmenty „do uzupełnienia przez Spółkę”) i zestaw taki nie został prawidłowo przyjęty i ogłoszony w organizacji, a więc realnie nie działa;
– brak uwzględnienia praktycznych postanowień dotyczących regularnej rewizji przyjętych polityk i procedur.
Na obecnym etapie więc nowy cykl analizy ryzyka przetwarzania danych osobowych w organizacjach warto rozpocząć od sprawdzenia, czy środki organizacyjne i techniczne w ogóle zostały wdrożone i czy działają.
Nie należy też zapominać o innych podstawowych sprawach, o czym przypomina cytowana wyżej decyzja PUODO w sprawie zaatakowanego ransomware uzdrowiska (znak DKN.5130.2815.2020): „brak technicznego wsparcia producenta stanowi podatność w odniesieniu do poziomu bezpieczeństwa wykorzystywanego oprogramowania, a co za tym idzie stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu m.in. na działanie złośliwego oprogramowania. Kontrola licencji i aktualności oprogramowania jest obszarem, który powinien być sprawdzany regularnie i możliwie często.”
W procesie rewizji, jak to jest widoczne na grafie umieszczonym na wstępie, konieczne jest ponowne przejście wszystkich elementów analizy ryzyka:
- ustalenia kontekstu;
- identyfikacji czynników ryzyka;
- analizy tych czynników;
- oceny związanego z nimi ryzyka;
- wprowadzenia środków zaradczych;
- akceptacji ryzyka resztkowego.
Przy ustaleniu kontekstu konieczne jest ponowne dokonanie oceny, jak wdrożone już środki zabezpieczające mają się do obecnie obowiązującego na rynku standardu. ENISA i Teletrust w dokumencie: “IT Security Act (Germany) and EU General Data Protection Regulation. Guideline <State of the art>. Technical and organisational measures 2021” wskazują, jak środki bezpieczeństwa stopniowo zmieniają się i w jaki sposób wpływa to na kwestię, co w danym momencie jest tzw. środkiem „state of the art”. Z biegiem czasu rozwiązania, które były wcześniej środkami bezpieczeństwa stosowanymi wyłącznie jako rozwiązania silnie innowacyjne i wdrażające najnowsze osiągnięcia techniczne, a nie cieszyły się walorem ogólnego uznania i nie były sprawdzone w praktyce są stosowane w coraz większej liczbie organizacji. W ten sposób stają się dobrze sprawdzonymi środkami i zyskują uznanie. „State of the art” w zakresie środków zabezpieczających to poziom wykraczający ponad to, co dobrze znane i powszechne, ale jednocześnie nie wymagający wdrażania niesprawdzonych, bardzo innowacyjnych rozwiązań. Odpowiada to również konieczności uwzględnienia kontekstu i kosztów wdrożenia, o czym mowa w art. 32 ust. 1 RODO.
W ramach identyfikacji czynników ryzyka warto ponownie zwrócić uwagę na ich zmianę wywołaną pandemią COVID-19. Czynniki ryzyka, które zmieniły swoją wagę to nie tylko ryzyko związane z nieuprawnionym dostępem do danych w czasie pracy zdalnej i wprowadzeniem nowych rozwiązań technicznych, w tym chmurowych, ale także nasilone ryzyko związane z dużym wzrostem rotacji kadry. Nie można także pominąć czynników ryzyka wyzwalanych zmianami w obowiązkach wynikających ze zmieniających się przepisów – jak choćby z digitalizacji teczek pracowniczych czy wprowadzenia systemów zgłaszania niezgodności i ochrony sygnalistów. Wreszcie duża skala pracy zdalnej i rotacyjnej przyniosła ze sobą zmianę w układzie i rozplanowaniu biur i całych budynków, co również może wpływać na zmianę zidentyfikowanych i zarządzonych przed pandemią czynników ryzyka.
Pics or it didn’t happen
Bardzo ważnym elementem procedury regularnego testowania jest także określenie, w jaki sposób będą zapewniane dowody na przeprowadzone sprawdzenia, pomiary i wprowadzone środki zaradcze. W tym zakresie przydatna w mojej ocenie jest analogia do procesu budowlanego i dziennika budowy. Dokumentowanie, choćby skrótowe, wszystkich działań w procesie może wydawać się żmudne, ale okazuje się zawsze nieocenione w przypadku sporu.
Każde działanie obejmujące wdrożenie nowych środków, audyt istniejących środków, analizę ryzyka, akceptację ryzyka resztkowego i inne powiązane działania – powinno być udokumentowane. Korzystnym jest, aby format i sposób dokumentowania takich działań był choć ogólnikowo opisany w procedurze dotyczącej testowania środków lub polityce ochrony danych osobowych. Format dowodów nie musi być wyszukany, notatki służbowe również mogą być przydatnym dowodem i są dopuszczalne jak dowód w postępowaniu administracyjnym.
Ważne jednak, aby opracowywane dowody miały walor wiarygodności. Każdy dowód – czy to raport z testów zabezpieczeń, czy decyzja zarządu o akceptacji ryzyka resztkowego, powinien zawierać co najmniej datę i informację o autorze. Dokumenty takie nie powinny być archiwizowane w formie edytowalnej, gdyż znacząco obniża to ich wiarygodność w postępowaniu.
O konsekwencjach braku wiarygodności dowodów przekonało się SGGW (decyzja PUODO znak ZSOŚS.421.25.2019):
„We wszczęciu postępowania administracyjnego Prezes UODO wskazał, że przedstawiona analiza ryzyka budzi wątpliwości co do prawidłowości jej sporządzenia (rzetelności danych w niej zawartych), nie zawiera metodologii jej przeprowadzenia, nie pozwala na jednoznaczne stwierdzenie, że została wykonana we wskazanym dniu oraz, że nie wynika z niej, kto konkretnie i na czyje polecenie przeprowadził i sporządził przedmiotową analizę oraz przez kogo została zaakceptowana”.
Podsumowując, w ramach świętowania kolejnego dnia ochrony danych osobowych czy kolejnej rocznicy wejścia w życie RODO warto rozważyć rewizję zarówno wdrożonych w swojej organizacji technicznych i organizacyjnych środków bezpieczeństwa, jak i samej procedury regulującej to, w jaki sposób zapewniane jest regularne testowanie. Szczególną uwagę warto zwrócić na to, aby procedura taka (i) jasno określała metodę i okres, w jakim będzie dokonywane testowanie; (ii) wskazywała osoby odpowiedzialne za dokonywanie testów, ich nadzór i odebranie ich wyników, a także wdrożenie środków zaradczych; (iii) opisywała sposób gromadzenia dowodów, który zapewni ich wiarygodność. Wiele badań dokonywanych w ramach audytów powdrożeniowych, ale także tak prostych sprawdzeń jak w przypadku due diligence pokazuje, że często rekomendacje i zestawy procedur przekazane przez doradców przy wdrożeniach RODO zostały wdrożone pobieżnie, a pracownicy mogą nie mieć świadomości ich istnienia czy tego, w jaki sposób należy je stosować. Dotyczy to nie tylko organizacji małych, ale także dużych jednostek organizacyjnych, w których liczba kadry uniemożliwiła przeprowadzenie dokładnych szkoleń wszystkich pracowników. Sprawdzenie realnego działania procedur i innych środków zabezpieczających powinno być elementem regularnego testowania i warto dokonać tego jak najprędzej.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>