Po ponad 4 miesiącach naszych webinarów nadszedł czas, w którym już widać chęć i potrzebę aby iść dalej. Nie tylko dyskusje nad podstawowymi zagadnieniami, jak podstawy szacowania i oceny ryzyka. W tym zrozumienie czym jest podatność, czym zagrożenie i samo ryzyko to nie tylko opis skutku. Podobnie w powierzeniu przetwarzania, to nie tylko umowy, ale też i działania wstępne w zakresie oceny procesora (np. QSA – kwestionariusz samooceny) czy audyt o którym dyskutowaliśmy ostatnio. 

Reklama

Luty 2020

Celowo w lutym zostawiliśmy czwartki jako dni wolne. Są one przeznaczone na dwa obszary naszego działania:

  • Prace rozwojowe w obszarze ochrony danych osobowych;
  • #RODOmanaicy 2.0.

O pracach rozwojowych napiszemy innym razem, dziś to jak widzimy poziom zaawansowany w naszych webinarach.

Geneza

Po pierwsze

Ostatni webinar “to był ogień”. Lekko zmieniona formuła i zamiast gadania po naszej stronie i kilku odpowiedzi, zrobiliśmy testowo WARSZTAT. Taki prawdziwy, zadane pytanie i informacje do wpisania. Co uczestnicy uważają… Naprawdę ciekawie wyszło. W podobnej formule będziemy realizować czwartkowe nasze spotkania. 

Po drugie

Drugi aspekt, który mnie mocno zaintrygował. Dotychczas śledziłem decyzje organów i sądów w dziedzinie ochrony danych osobowych i RODO jako pewne wytyczne do rozumienia aspektów ochrony, czasem zmiany. Czasem zmiany poziomu ryzyka, na podstawie tego rozumienia. Cóż, jak każdy ja też w pewnym stopniu subiektywnie oceniam. 

Niemniej zaskakujące są dla mnie kwestie tego, że chyba polski rynek nie ma wykształconej kadry IOD-ów, którzy wiedzą po co są. W szczególności w kontekście dużych i bardzo dużych organizacji. Skąd takie wnioski? Kilka artykułów opublikowanych na Linkedin:

W tzw. międzyczasie pojawiły się kwestie dyskusji o DPIA i narzędziu PIA, a do dziś nie otrzymałem odpowiedzi na pytanie zadane jednemu z ekspertów RODO – dlaczego zawęża DPIA do prywatności? Bo to tylko jedno z praw. Oczywiście nie gaśnie dyskusja, która u nas wręcz przerodziła się w projekty, a dotyczy poradników Urzędu Ochrony Danych Osobowych. Dotyczy zarówno wartościowania danych osobowych, sposobu ich klasyfikacji o czym też pisałem ale też i klasyfikacji naruszeń. Według PUODO za Grupą Roboczą 29 klasyfikacja wynika z utraty atrybutu, np poufności, integralności, dostępności. Ja bym dodał jeszcze naruszenie ochrony… i wcale tak nie klasyfikował.  A raczej tak, jak to jest opisane w art 33 – czyli powaga incydentu, bo przecież skutek (poziomy ryzyka) mamy też w RODO opisane. 

Naprawdę mogę długo na ten temat pisać, ale jest jeszcze trzeci aspekt.

Po trzecie

Czytam stanowiska pełnomocników firm, na które PUODO nałożył kary. DRAMAT. Nie dlatego, że niektóre są odjechane, jak te w sprawie Bisnode (WSA sprostował). Ale dlatego, że bije z nich jedna DRAMATYCZNA wręcz informacja. 

Biznes przeważył

Naprawdę. Widać jest jak na dłoni, że nie było dialogu IOD-a z biznesem. Wdrożono rozwiązania pro-biznes, bez partnerskiej postawy (ClickQuickNow – i magiczne odwoływanie zgody, czy Bisnode który nie wyśle, bo szkoda mu kasy na 5,20 na znaczek, albo Morele, który nawet nie miał sensownego zarządzania kryzysem). Mam nadzieję, że teraz ten biznes sam siebie też rozliczy, tak jak rozliczać chce IOD-ów czy wdrożeniowców. Bo ja znam takie postawy… Ale nie wyprzedzajmy. 

Po pracy dla naprawdę dużych firm krajowych, koncernów i korporacji europejskich i globalnych domyślam się (graniczy z pewnością), że po prostu zabrakło. Zabrakło umiejętności IOD czy wdrożeniowca wcale nie w obszarze RODO. Zabrakło tych umiejętności, które potrafią przekonać zarządy, czy pozostałe osoby o tym, co tak naprawdę robią, jak to powinno być zrobione. Trochę to komunikacja, ale wydaje mi się, że w dużej mierze umiejętność realnej pracy na fundamentach. Pracy nad polityką bezpieczeństwa, nie planem ochrony z poprzednich przepisów nazwanym szumnie Polityka Bezpieczeństwa Danych Osobowych. Mam na myśli prawdziwą politykę, deklarację zarządu, z określeniem misji i wizji, określenia sposobu podejścia do ochrony danych, zrozumienia (naprawdę) jak one są ważne. I na bazie tych danych wejściowych (tylko pierwsza grupa na razie) określenie celów ochrony danych. Zabrakło dobrej identyfikacji kontekstu przetwarzania danych, który dostarcza wiedzy o makro i mikroczynnikach w otoczeniu organizacji czy wewnętrznego, które mają wpływ na szereg spraw. Zabrakło precyzyjnej identyfikacji grup interesariuszy (dowody w postaci idiotycznie wręcz prowadzonej komunikacji kryzysowej). 

To naprawdę przekonuje! Tylko:

  • Musi być przygotowane;
  • Musi być DOBRZE przygotowane.

Po czwarte

Oferta edukacyjna i merytoryczna oraz poziom dyskusji nadal jest na PODSTAWACH. Albo na prawie ochrony danych. Dyskusja jest to tym JAK OCENIĆ współmierność! Naprawdę! Dziś, gdy to już dawno powinno być ocenione. Albo jak zmierzyć interes osoby vs interes admina w teście równowagi. Znów dyskusja o PODSTAWACH, tego, co już dawno powinno być zrobione! 

Ale jak czytam artykuły (tak, jest sporo fajnych, niestety po angielsku), albo czasem wrzucę coś narzędziowego, z poziomu nieco bardziej zaawansowanego to mamy trzy główne sposoby reakcji w naszym krajowym środowisku:

  • Sprowadzenie dyskusji, czy IOD powinien być prawnikiem, czy IT;
  • Cisza;
  • “Wymyślasz panie, bo przecież wystarczy kwit”.

Wystarczy prawda? Wystarczy podstaw do tego, aby jednak wejść o szczebel wyżej? 

Zaangażowanie

Na razie raz na dwa tygodnie. Dlatego, że te webinary będą już wymagały zaangażowania dużo większego niż rejestracja, opłacenie, dostanie maila, odpalenie przeglądarki i posłuchanie przez 1,5 godziny ewentualnie zadanie kilku pytań. Tym razem będzie inaczej… 

Przygotowanie swoich materiałów

Każdy webinar będzie miał informację, jakie materiały powinien IOD, manager, czy specjalista ochrony danych przygotować. A przynajmniej przejrzeć. Aby być gotowym do dyskusji i udziału w warsztacie. UDZIAŁU CZYNNEGO

Po każdym webinarze już obowiązkowo (na poziomie podstawowym jest dobrowolnie) praca domowa z terminem 7 dni. Na wycinku, nie całości. Bo ja nie dam razy sprawdzić całości. Chodzi o zrozumienie istoty. I PRZEKONANIE IOD-ów, managerów i specjalistów z branży. Na początek ICH. Naprawdę, po kilku spotkaniach zacznie się wyłaniać i kontekst, i cele, i sens i jak to mówią uczestnicy szkoleń w Europejskiej Akademii Bezpieczeństwa i Ochrony, gdzie prowadzimy pełne szkolenia dla IOD:

Grzegorz, to się kurcze spina!

No to zepnijmy w końcu systemy. 

Krótki plan na luty:

  • 6 lutego 2020: Polityka bezpieczeństwa jako deklaracja stosowania?
  • 20 lutego2020: Kontekst przetwarzania czy kontekst organizacji?

Bliżej webinarów uczestnicy otrzymają informacje czego dotyczyć będzie spotkanie i co należy przejrzeć w organizacji. Teraz tylko krótki wstęp:

Polityka bezpieczeństwa jako deklaracja stosowania?

Deklaracja stosowania jest narzędziem znanym z ISO 27001. Wskazuje na … deklarację stosowania zabezpieczeń. Dla przypomnienia, cele zabezpieczeń są zawarte w załączniku normatywnym do normy i jest to kilkanaście obszarów. Ale czy w RODO mamy KILKANAŚCIE obszarów? I drugie, kluczowe pytanie – jak się odnosi deklaracja stosowania do polityki bezpieczeństwa (deklaratywnej) i celów bezpieczeństwa?

Kontekst przetwarzania czy kontekst organizacji?

W RODO mowa jest o kontekście przetwarzania, natomiast w normach i standardach, na które powołuje się nawet nasz organ nadzorczy (i nie tylko nasz) mowa jest o kontekście organizacji. Czy da się wykorzystać te same narzędzia? A jeśli tak, to jakie? Krótkie (1,5 h) wprowadzenie do tworzenia kontekstu przetwarzania danych osobowych.