Od lat niemalże dwudziestu obserwuję środowisko ochrony danych osobowych. Jest to też obserwacja jak to w metodach audytu nazwano “uczestnicząca”, po prostu jestem elementem tego środowiska. Dziś, na starcie #RODOmaniaków w nowej odsłonie podzielę się pewnymi spostrzeżeniami.
Na początek kilka spraw technicznych związanych z tworzeniem, wdrażaniem, utrzymaniem i rozwojem systemów zarządzania. Bo to, czego wymaga RODO to wdrożenie systemu zarządzania ochroną danych osobowych. Niezależnie od metodyk, standardów i norm etapy można wyróżnić trzy. A więc:
- Ustanowienie tzw kontekstu
- Planowanie i wdrożenie rozwiązań
- Testowanie
W cyklu PDCA jest etapów cztery, ale to na inny wpis.
Ustanowienie kontekstu
Zanim pojawiła się norma ISO 31000, czyli ta związana z ryzykiem, kontekst był nazywany nieco inaczej. Mimo zmian nazwy narzędzia pozostały te same:
- Kontekst zewnętrzny to były analizy makro i mikrootoczenia organizacji, wykonywane na analiza PEST(LE), 5 sił Portera czy innych podobnych;
- Kontekst wewnętrzny to analizy wnętrza organizacji wykonywane zależnie od rodzaju i sposobu zarządzania. Analizy mogły być portfelowe, skierowane na rodzaje działań, np. macierz BCG albo wieloczynnikowe, np. WSZ/POU.
Planowanie i wdrażanie rozwiązań
Tutaj ścierają się dwie koncepcje.
- Zarządzanie ryzykiem – gdzie obracamy się wokół ryzyka, tutaj dla praw i wolności lub naruszenia RODO;
- Strategia bezpieczeństwa – nieco szersze ujęcie obejmujące również kwestie budżetowe, zyskowności inwestycji w bezpieczeństwo
W obu podejściach mamy do czynienia z kilkoma wspólnymi elementami. Np. mierniki stopnia wdrożenia strategii czy planu postępowania oraz skuteczności.
Testowanie systemów
W ochronie danych osobowych wymaganie testowania pojawiło się dopiero w RODO. Ale praktycznie każdy system, aby wykazać że jest odpowiednio zaplanowany i skuteczny wymaga po prostu testowania. W RODO związane jest to też z wprowadzeniem koncepcji myślenia i działania opartego o ryzyko. Aby to właściwie wykonać potrzebujemy dwóch etapów podstawowych
- Oceny, czy zaplanowany system został wdrożony (tzw. compliance do wymagań wewnętrznych, zawartych w politykach, procedurach, strategiach i instrukcjach);
- Jeśli ocena wdrożenia jest zadowalająca (np. powyżej 75% zabezpieczeń wdrożonych), możemy dopiero ocenić czy system jest skuteczny w odniesieniu do ryzyka.
Pewnie teraz Czytelnik zastanawia się o co chodzi z tytułem:
“Nie daj się ugrzęznąć”
Otóż obserwacja, jaką poczyniłem przez ostatnich niemalże dwadzieścia lat w ochronie danych osobowych, a nasiliła w ostatnim roku to coś, co nazywam “doktoryzowaniem się” nad przepisem prawa. Rozpatrywaniem go z każdego punktu widzenia, z każdego pryzmatu. Dyskusje o tym, co oznacza definicja czy nadmierne rozważanie podstaw prawnych. Które są, ale administrator czy IOD nie są pewni, czy właściwie zinterpretowali. I wiele innych, związanych stricte z prawem, a nie z ochroną danych osobowych.
Tak, takie dyskusje są ważne, bo są…, jednym z sześciu składników tzw. kontekstu zewnętrznego. Wszelkie pozostałe przepisy prawa również. Mieszczą się w etapie I, w analizie PESTLE (to tylko jedna z wielu analiz do wykonania), w której są czynniki:
Polityczne – czyli to jak obecnie rządzace partie i ugrupowania patrzą na… nie na dane osobowe. Na konkretny sektor. Bo nie RODO jest najważniejsze dla przedsiębiorcy, a całe środowisko polityczne.
Ekonomiczne – czyli w kontekście RODO, czy np. stać nas będzie na konkretne rozwiązania. Art. 32 mówi o tym wyjątkowo jasno.
Społeczne – zostańmy w zawężeniu analizy do RODO. Na ile ludzie są świadomi, jaki jest odbiór społeczny. Istotne, prawda? Tu jest zaszyte właśnie źródło magicznego zdania “nie bo RODO”.
Technologiczne – masa informacji o tym, jak możemy technicznie i technologicznie wdrażać wymagania RODO, przełożone na nasze systemy i jakie są zagrożenia.
Prawne (L od legal) – o tu… tu znajdują się te wszelkie rozważania RODO dla organizacji. Przy czym RODO czy możesz szerzej, prawo ochrony danych osobowych jest tylko jedną z gałęzi prawa w grupie przepisów z kategorii “wymagania obowiązkowe przedsiębiorcy”. Zaraz obok prawa pracy (mobbing, dyskryminacja), BHP oraz ochrony przeciwpożarowej.
Środowiskowe (E od environment) – tu też są wymagania obowiązkowe. Np. opłaty środowiskowe z tytułu użytkowania pojazdów, elektrośmieci, a w przypadku większych organizacji całe systemy.
Nie daj się ugrzęznąć
To apel. Aby nie pozostać we wdrożeniach ochrony danych osobowych na poziomie niekończących się interpretacji prawnych, zakończonych napisaniem dokumentów pod te interpretacje, z pominięciem reszty. Która bywa o niebo istotniejsza, bo istotą RODO i ochrony danych osobowych jest rzeczywiste chronienie osób, których dane przetwarzamy. A tę ochronę realizujemy:
- Systemami ochrony w siecia i systemach IT. I tu nie “doktoryzujemy” się czy IPS to to samo co IDS i czy potrzebna nam DMZ, firewall i czy malware to to samo co wirus.
- Systemami ochrony fizycznej, w rozumieniu ochrony przed kradzieżą, zniszczeniem.
- Systemami ochrony przeciwpożarowej, w rozumieniu ochrony przed pożarem i innymi zagrożeniami miejscowymi.
- Innymi, zależnymi od organizacji.
Dlatego na naszym blogu nie będziemy publikować wyroków, orzeczeń, interpretacji, czy zmieniających się stanowisk Grupy Roboczej 29, Prezesa Urzędu Ochrony Danych Osobowych, czy Ministerstwa Cyfryzacji. To zostawiamy prawnikom, właśnie po to aby nie ugrzęznąć.
O czym będziemy pisać?
- Jak zidentyfikować przepływy, jak wykonać analizę zagrożeń, jak oszacować siłę wpływu zagrożenia, jak wykonać DPIA, jak wykonać szacowanie i ocenę ryzyka, jak obsłużyć incydent.
- Jak napisać przejrzyste i skuteczne dokumenty, jak je wdrożyć i sprawdzić czy rozwiązania w nich opisane działają.
- Jak przygotować szkolenia, zrealizować je i ocenić skuteczność.
I wiele innych JAK. A nie CO. Bo o tym, co należy zrobić to już naprawdę wystarczy.
