W niniejszym artykule postaram się pokazać potrzebę zastosowania narzędzia – analiza ryzyka – do zabezpieczenia danych osobowych.
Częste dzisiejsze podejście do tematu ochrony danych osobowych
Zmiany przepisów o ochronie danych osobowych wprowadziło Rozporządzenie o ochronie danych osobowych (RODO). Przyjęte zostało ono przez Parlament Europejski dnia 14 kwietnia 2016 r. Obecnie zmiany stanowią problem nurtujący wszystkich świadomych przedsiębiorców i organizacje. Mamy jeszcze chwilę czasu, bo zmiany weszły w życie, ale będą egzekwowane od maja 2018 roku.
Dotychczas narzekaliśmy i nadal narzekamy na biurokrację, przygotowywanie papierów dla samego faktu ich posiadania. Posiadania, głównie po to, aby w razie kontroli „coś mieć”. W dniu dzisiejszym usłyszałam podczas rozmowy: „wziąłem COŚ z Internetu, a martwić się będę jak przyjdzie kontrola. Pytanie: tylko jaka jest szansa, że akurat do mnie przyjdzie?”
Wg mnie, to jest całkowity brak zrozumienia tematu. Świadomy przedsiębiorca czy szef jakiejkolwiek organizacji powinien sam walczyć o zabezpieczenie danych osobowych, które przetwarza. Powinien patrzeć przez pryzmat swojej osoby, czy chciałby, aby jego dane osobowe wypłynęły. Wypłynęły np. z banku lub od ubezpieczyciela, ze sklepu Internetowego czy z firmy usługowej, a może od lekarza? Jeżeli my tego nie chcemy, to chyba powinniśmy świadomie zadbać także o bezpieczeństwo innych. Innych, tzn. danych naszych pracowników, czy klientów w naszej firmie czy organizacji.
RODO
Co zmienią ww. przepisy europejskie w tym zakresie? Bardzo wiele, bo o tym, jakie będziemy posiadać dokumenty, jakie procedury i w jaki sposób będziemy pilnować bezpieczeństwa danych osobowych, będziemy decydować sami. Nikt nam nie zapisze katalogu czynności do wykonania, aby być bezpiecznym. Jeszcze nie raz będziemy dobrze wspominać Rozporządzenie z roku 2004, które teraz (w momencie pisania tego artykułu) nadal nas obowiązuje. Dlaczego? Bo ono podaje wykaz tego co musimy mieć zrobione i jak mamy, to teoretycznie nie powinno nam nic grozić w przypadku kontroli.
A od maja 2018 roku ma być po prostu bezpiecznie, a jak – tak jak sami sobie to przygotujemy. Nikt za nas niczego nie wymyśli, jeśli sami nie „załatamy wszystkich dziur”. „Dziur”, czyli np. luk programowych czy organizacyjnych, które mogą narazić dane osobowe na utratę bezpieczeństwa. A za to będą grozić ogromne kary finansowe. Na polskie warunki są to kary zupełnie niewyobrażalne, a mimo to są, bo jednakowe przepisy obowiązują całą Unię Europejską.
Ww. Rozporządzenie ceduje na przedsiębiorców czy organizacje decyzję, w jaki sposób należy zabezpieczyć przetwarzane w nich dane osobowe i wymaga prowadzenia stałej udokumentowanej analizy ryzyka w tym zakresie. To właśnie na podstawie profesjonalnie przeprowadzonej analizy ryzyka można decydować o sposobie zabezpieczenia danych osobowych, przesuwaniu środków finansowych na to zabezpieczenie, tworzeniu dokumentacji itp.
Nie da się „spać spokojnie”, bo wiadomo, że nie ma w tym zakresie 100% gwarancji. Analiza ryzyka jest jednak narzędziem, pozwalającym na bieżącą weryfikację sytuacji i podejmowanie natychmiastowych reakcji, a przede wszystkim na zachowanie rozsądku w zarządzaniu ochroną danych osobowych. Nie można zarządzać „ad hoc”, trzeba wprowadzić system, system oparty na analizie ryzyka.
Analiza ryzyka
Warto znać jeden z zapisów Rozporządzenia, mówiący o tym, że w przypadku naruszenia ochrony danych osobowych administrator danych osobowych ma 72 godziny na zgłoszenie tego faktu do organu nadzoru. Pytanie, co zrobić, aby taka sytuacja nie wystąpiła? Odpowiedź jest tylko jedna. Należy dobrze przeprowadzić analizę ryzyka, odpowiednio do jej wyników zabezpieczyć przede wszystkim te obszary, w których znajdziemy największe niebezpieczeństwo naruszenia, przeszkolić ze zrozumieniem cały personel, a wszystko przy zastosowaniu ekonomicznie uzasadnionych działań.
Nasuwa się pytanie co oznacza słowo „dobrze” przeprowadzić analizę ryzyka. Dla mnie to przede wszystkim oznacza: zrobić samodzielnie, a nie powielać z Internetu lub od innej firmy czy organizacji. Oznacza to zrobić zgodnie z jakimś ustalonym systemem, który zostanie opisany specjalnie dla nas i dla naszej specyfiki. Pamiętajcie Państwo – nie ma dwóch takich samych dokumentów analiza ryzyka, nawet w firmach tej samej branży, tej samej wielkości i działających na tym samym terenie. Słowo „dobrze” oznacza przede wszystkim „ze zrozumieniem swojej organizacji i zasad oraz metodyki ustalonych dla u nas i dla nas”.
Ile mamy czasu?
Zmiany muszą być wprowadzone do maja 2018r., a wiązać się to może z dużymi kosztami na ich realizację. Warto pomyśleć o tym już teraz i postarać się spokojnie przygotować, bo jak wiadomo pośpiech rodzi zwykle dwa problemy: wzrost kosztów i mniejszą rzetelność wykonania. A wykonać należy rzetelnie.
Pamiętajmy, że jak się spieszymy, to nie mamy czasu na poszukiwanie najlepszych rozwiązań, a najlepszych – nie znaczy najdroższych. Trzeba znaleźć optymalne, ale też nie najtańsze. Chodzi o to, aby faktycznie być zabezpieczonym, a nie tylko zrobić cokolwiek, jak najniższym nakładem środków finansowych. System „ma działać skutecznie”, a nie tylko „ma być”. Bo tylko wtedy spełnimy wymagania Rozporządzenia.
Niektóre firmy będą zobowiązane do powołania osoby DPO, czyli Data Protection Officer (oficera bezpieczeństwa informacji – coś na wzór obecnego ABI). Czy DPO przyjmie odpowiedzialność, jeżeli system nie będzie do tego przygotowany? Czy go znajdziecie bez wcześniejszego przygotowania, stworzenia analizy ryzyka i dostosowania firmy czy organizacji do nowych przepisów Unii Europejskiej?
Z tym zapytaniem zostawiam Państwa i proponuję przemyśleć, czy warto zająć się temat już teraz?
Dziękuję za uwagę, następny artykuł poświęcę słownictwu związanemu z analizą ryzyka…
Zapraszam na ciąg dalszy i nadmieniam, że będę pisać w sposób prosty i zrozumiały dla wszystkich,
gdyż nie są to artykuły dla specjalistów zarządzania ryzykiem, tylko dla menadżerów i pracowników
firm i organizacji, którzy chcą się tym tematem zainteresować.
Anna Słodczyk©
Najnowsze komentarze