Geneza cyklu jest prosta. Może dwa zdania wstępu. Nie, nie robimy już audytów. Pomagamy – tak. Szkolimy – tak. Wdrażać – nie. Audytować – nie. Wystarczy już… 

Ale informacje są z audytów naszych i partnerów. Bo #RODOmaniacy, czyli nasi partnerzy, uczestnicy spotkań on-line, czy szkoleń w ESSA mają nasze wsparcie zawsze. I tak sobie dyskutujemy. I z tych dyskusji dzisiejszy wpis:

“gdzie są dane?”

Często naprowadzamy jak nawigatorzy na cele. Ponieważ wiele szkoleń “z RODO” czy dla IOD-ów (Inspektorów Ochrony Danych) czy dla specjalistów ochrony danych opiera się na doświadczeniach nazwijmy to “biurowych”, w których prowadzący nie skalał się wejściem na halę produkcyjną, magazynową, wyjściem na plac (bo padało), etc., i po prostu nie przekazał tej wiedzy (bo skąd miał mieć?) postanowiliśmy uzupełnić nieco informacji, czyli:

GDZIE SĄ DANE OSOBOWE?

Ochrona przeciwpożarowa

Dziś na początek wrzucimy informacje które dotyczą niemalże każdego budynku. Otóż zarządca, właściciel, ale i UŻYTKOWNIK, wprowadza Instrukcję Bezpieczeństwa Pożarowego (IBP). Użytkownik zaznaczony specjalnie, bo musimy wiedzieć czy to obowiązek naszego klienta, czy nie.

IBP ma wiele zadań. Odnieśmy to do etapów zarządzania bezpieczeństwem, jakie znać powinien każdy szanujący się IOD jak i ogólnie rzecz biorąc “bezpiecznik”. Pominę planowanie, które jako etap ktoś radośnie wrzucił do zarządzania kryzysowego. Etapów mamy 3:

  • Prewencja – czyli zapobieganie żeby się nie stało;
  • Reakcja – czyli działanie, jak się stało;
  • Odbudowa – czyli już się stało i trzeba się pozbierać. 

Aby pokazać mechanizm szukania danych, poniżej tylko dwa przykłady etapu I. Ale to ile danych w jaki sposób są gromadzone, gdzie i w jakiej formie potem przechowywane, to wszystko zależy od inwencji tworzącego IBP. Nawet nie szefa, który to wdrażać powinien, bo on z reguły czyta stronę 1. Szczególnie tę rubrykę, która zaczyna się od “zatwierdzam”. 

Oczywiście są wyjątki. Ale z mojej prawie 20 letniej kariery audytora podtrzymuję. Są to wyjątki. 

Prewencja w ochronie ppoż. 

Oczywiście nie jestem w stanie opisać wszystkich możliwych konfiguracji, więc tylko poprowadzę przez typowe czynności w zakresie prewencji pożarowej. 

Konserwacje urządzeń ppoż. 

Raz na jakiś czas przyjeżdża do nas pan Miecio (kryptonim operacyjny). Wykonuje czynności konserwacyjne dla urządzeń. Uwaga, to nie tylko gaśnice, ale nie będę tutaj wykładał ochrony ppoż, zaznaczam tylko że temat dotyczy nie tylko gaśnic. Otóż pan Mieczysław dokonując kontroli sprawności urządzeń, czaem drobnych napraw przewija nam się w rejestrach:

  • Książki wejść/wyjść u ochrony bądź recepcji
  • Zleceniu konserwacji (czasem mail, czasem większa “formaliza”)
  • Protokołu po wykonaniu czynności. 

Pan Mieczysław wraz ze swoim podpisem oraz danymi “wisi” też często na gaśnicach, hydrantach wewnętrznych i innych elementach, na których konieczne (lub przyjęte) są “kontrolki” (potwierdzenie wykonania czynności). 

Dane pana Mieczysława:
  • Identyfikacyjne
  • Kwalifikacje (zarówno uprawnienia jak i umiejętności)

Prace pożarowo niebezpieczne

To takie co w każdym budynku są. Cięcie szlifierką kątową, podgrzewanie, spawanie… Nawet jeśli tego nie widzicie, nie znaczy że nie ma. Po prostu często tego typu czynności w biurach wykonywane są nocą. I tu ważne aby wiedzieć, czy to my jesteśmy tym użytkownikiem z przepisów. 

Jak wygląda dopuszczenie do wykonania prac?

Nie dublujemy. Tak jak pan Miecio, tak i pani Krysia (kryptonim operacyjny spawacza… spawaczki?) muszą zostać zamówieni, zaawizowani dostarczeni do miejsca wykonania prac. Więc w mailach, zleceniach, rejestrach będą. Ale… Poza zleceniami i rejestrami nazwijmy to “ogólnymi” prace pożarowo niebezpieczne kierują się swoimi zasadami. Jest to taki proces zarządzania bezpieczeństwem w pigułce. Otóż komisja (najcześciej) wykonuje najpierw ocenę i dopuszcza do prac. Wygląda to tak, że panowie i panie ze strony zleceniodawcy oraz wykonawcy (to mogą być różne działy firmy) ustalają sobie:

  • Co jest do zrobienia
  • Jakie są substancje i materiały palne, skrajnie łatwopalne a nawet wybuchowe (można pracować jak DGW jest poniżej 10%) znajdują się w rejonie. Nic nowego prawda? Identyfikacja zasobów. 
  • Oceniane są też zagrożenia jakie wynikają z prac. Iskry, temperatura. 
  • Oceniana jest… PODATNOŚĆ. A tak. Czyli jak te substancje w otoczeniu, czy coś na czym praca będzie wykonywana jest wrażliwe na efektywne źródła zapłonu (jest ich 13 zgodnie z normą. Co prawda do wybuchów, ale ja ją stosuję w ppoż też). 
  • Dobierane są środki ochrony. Dokładnie tak samo jak zawsze, czyli po pierwsze jak można obniżyć podatność (osłony spawalnicze). Po drugie, jak się nie da to jak można zmniejszyć zagrożenie zapłonu (usunięcie na czas prac). A po trzecie zawsze się może “zajarać”. Więc dobiera się środki gaśnicze właściwe do wykonywanej pracy, otoczenia i tego co się może zapalić. Są to gaśnice, koce, agregaty. 
  • Koniec? Nie… jeszcze mamy na koniec po zakończeniu prac kontrolę. Bo zawsze sobie gdzieś iskierka poleci. Pamiętacie kota Filemona? Miał takie znamię od iskierki… wredne, latają tu i tam (młodszych odsyłam do Wikipedii. Kreskówka, w naszych czasach młodości nazywana bajka, nosiła tytuł Bonifacy i Filemon. Przynajmniej ja tak to pamiętam). 

Dane osób biorących udział

  • Dane identyfikacyjne (nasze i nie nasze, jeśli serwis zewnętrzny);
  • Dane o kwalifikacjach (np. te nieszczęsne DGW – czyli dolna granica wybuchowości. Osoba wykonująca prace musi mieć poza wiedzą i umiejętnościami związane z pracami, też kwalifikacje do obsługi czujników par atmosfer wybuchowych, więc to kolejne dane z tej kategorii)

A czyje to dane… 

Wcale wam nie podpowiem. Po prostu wystarczy pójść do miejsca w którym przechowywane są protokoły wykonanych prac pożarowo niebezpiecznych (tak, to kolejne zadanie – gdzie są przechowywane dane i czy zgodnie z zasadami?). I z tych protokołów odczytać sobie dokładnie a potem sklasyfikować. 

Podsumuję

Nie będę dalej rozwijał bo artykuł miałby objętość Harlequina co najmniej, a może nawet Trylogii Sienkiewicza. W kilku żołnierskich słowach instrukcje.

Instrukcja pozyskania (nie łudź się że na własność) Instrukcji Bezpieczeństwa Pożarowego

  • Idź i weź Instrukcję Bezpieczeństwa Pożarowego. Przygotuj się na wyprawę zimową, co najmniej jak zdobywanie Giewontu przy minus 45 stopniach i pokrywie śniegu 6 metrów. Instrukcja Bezpieczeństwa Pożarowego bywa jak Yeti. Każdy słyszał, nikt nie widział. Broń cię panie przed wzięciem “egzemplarza emergency!!!” (autentyczne określenie). Zostaniesz oskarżony jak o kradzież świętego Graala!!! Nawet ja ci nie pomogę… 
  • Przygotuj się na walkę o ogień. Jak na filmach o naszych pradawnych. Żaden “rasowy inspektor” nie udostępni ci IBP bez walki. Możesz przygotować się, korzystając z szerokiej oferty klubów MMA. A i kilka walk w klatce ci nie zaszkodzi. 
  • Jeśli zdobyłeś Instrukcję NIE OTWIERAJ JEJ!!! Nie tak ot… To jest jak podróż do Narni, jak przejście do Zaczarowanego Ogrodu, jak zmiana poziomu w Incepcji, jak wejście do… Mordoru. Dla wielbicieli klasyki, jak wpadnięcie do króliczej nory. I nie, nie licz na to, że spotkasz lwa o gołębim sercu, rycerza co mu zardzewiało to czy owo, czy spotkasz czarodzieja z Oz. Po prostu musisz być pewien, że chcesz. Jak Neo w Matrixie. Jeśli jesteś pewien, zaopatrz się w dużą ilość środka uspokajającego (np piwo, zawiera lupulinę jak wiodący środek uspokajający). Wygoń rodzinę na spacer. Albo współpracowników do kantyny. I otwórz… 
  • Postaraj się dalej nie przeklinać. Wszak jesteś najcześciej w miejscu publicznym, a za to grozi mandat karny wysokości 500 pln z art 141 Kodeksu Wykroczeń. Względnie wniosek do sądu. Proponuję przyjąć mandat, bo sąd może nałożyć grzywnę do 5 tys i jeszcze coś wymyśli. A i koszty postępowania opłacisz. I nie, nie złość się na to, że IBP to 190 stron, z czego 150 to przepisane przepisy. Zobacz, koledzy z RODO robią dość podobnie… Jeśli już się uspokoiłeś idziemy do sedna. 

Instrukcja właściwa, korzystania z Instrukcji

W IBP są opisane procesy. Niestety rzadko w ujęciu procesowym, więc trzeba sobie to samodzielnie zmapować;

  • W procesach zidentyfikuj, krok po kroku, jak proces przebiega. Standardowo jak wszystkie inne;
  • Zidentyfikuj dane osobowe – gdzie są gromadzone, gdzie są wykorzystane (przetwarzane) i gdzie są przechowywane (jak na naszym spotkaniu online identyfikacja i wartościowanie danych); 
  • Spróbuj pogadać z ludźmi, którzy to realizują, czy naprawdę te wszystkie informacje są istotne. A znajdziesz ich (informacji, nie ludzi) naprawdę wiele. Nie opisywałem np. (zostawię na inny raz) siatki powiadomień (call tree), czyli “w razie awarii dzwoń”. I masa danych, w tym nawet PRYWATNYCH danych kontaktowych. 

Aktualizacja IBP

Jak już uszczuplisz dane w procesach (a na pewno się uda), idź do człowieka, który to opracował. Nie czuję się na siłach dziś napisać kolejnej instrukcji zdobywania twierdzy (relacje damsko-męskie nie dobrze postrzegane w dobie gender, więc na tym przykładu nie zrobię), bo ja sobie to wszystko wizualizuję. I już mam dość opisania pozyskania i czytania (pierwsza instrukcja). Naprawdę czuję się zmęczony… Ale wierz mi, że przejdziesz przez piekło. Odkryjesz kolejne kręgi piekieł, o których nie napisał Alighieri.. O właśnie. Może po prostu aby ci uświadomić, przytoczę słowa znad bramy piekieł, właśnie z Boskiej Komedii:

Lasciate ogni speranza, voi ch’entrate

Co w dowolnym tłumaczeniu oznacza:

“ale urwał…”

Powodzenia. I miło było cię gościć i poznać… Widzimy się w XII kręgu piekieł. Pewnie dostanę z art 18 Kodeksu Karnego za podżeganie albo nie daj… za sprawstwo kierownicze. Cóż, nie tylko sprawca obrywa.