#RODO-online

#RODOmaniacy praktycznie…

By Grzegorz Krzeminski

#RODOmaniacy praktycznie…

[stm_post_details]

Nasza społeczność się fajnie rozwija. Mamy już ponad 30 stałych naszych #RODOmaniaków i z każdym miesiącem przekonuje się do naszej aktywności coraz więcej osób. Wielu zmieniliśmy pogląd na świat… zapominając o daniu wyboru jak w Matrixie. 

Niebieska pigułka, budzisz się w tym samym świecie.

Czerwona… witaj w prawdziwym świecie (po angielsku brzmi lepiej). 

Także tych, którzy wybrali czerwoną jest coraz więcej. A my też nie ustajemy w naszej pracy. Poza projektami, o których pisaliśmy to sama formuła webinarów też ewoluuje. Pracujemy na prawdziwych case-ach (przypadkach). Omawiamy prawdziwe zdarzenia, druki, materiały. Dla przykładu z ostatnich spotkań:

  • Audyt procesora – kryterium audytu (zbiór wymagań) umowa o powierzeniu danych. Do niej wykonaliśmy:
  • Identyfikację niezgodności (naprawdę. Umowa przykładowa jednego z lidera usług i nieco… słabo czasem);
  • Identyfikację potencjału doskonalenia (czyli tam, gdzie nie ma wymagania, a się prosi aż żeby coś poprawić);
  • Przygotowaliśmy kilka wymagań w liście do sprawdzenia w fazie I i II audytu
  • Dobraliśmy metody audytu zgodnie z ISO 19011. 

Drugi webinar też był poświęcony audytowi. To był Audyt RODO cz. II. Tutaj zabraliśmy się za dokument wiodący. Również lidera branży (inna firma) i również wzorcowy i co ważne, jak zapewniał wystawca “zgodny z RODO”. Zgodny nie był, bo:

  • Wystawiliśmy pełny protokół niezgodności;
  • Poszukaliśmy do niego rozwiązań

Najwięcej głowienia się było nad… uzasadnieniem rekomendacji. Przyznałem się w trakcie webinaru, że to moja nieco złośliwość polegająca na tym, że audytor ma się nagłowić. I takiego prostego (bardziej pasuje prostackiego) uzasadnienia, że stan jest niezgodny z prawem, to ja nie kupuję. Bo jak mówiliśmy na części I Audyt RODO, audytujemy co celu wydania aktu prawnego. A nim nie jest zgodność z prawem. Zgodność z zsadami RODO jest po to, aby osoba, której dane są przetwarzane była chroniona. A więc uzasadnienie w przypadku audytu RODO MUSI BYĆ do zasad. Najlepiej tych z art. 5 RODO (dzięki czemu uzyskujemy też listę działań do wykazania z art 5.2 – rozliczalność). 

  • Wystawiliśmy też potencjał i pokazałem, czym się różni. 

Trzeci webinar: identyfikacja i wartościowanie danych. Tu znów, konkretny przykład, konkretny proces, konkretna dyskusja. Co prawda na wartościowanie nieco czasu zabrakło, więc przygotowujemy materiał pisany, do wysłania (umieszczenia w naszej “plikowni”). 

Prace domowe

Wiele, jak nie większość webinarów w ostatnim czasie kończy się zadaniem domowym. Np. przygotowaniem zlecenia audytu (Audyt RODO cz. I), opisaniem zakresu oceny procesora (nie, nie audyt. Powierzenie przetwarzania i QSA – kwestionariusz samooceny podmiotu “kandydata”). Teraz też mamy zadanie domowe. z Audytu RODO cz. II. Po prostu do pokazania, o co chodzi w całości systemu ochrony danych osobowych musimy mieć kilka niezgodności i kilka potencjałów doskonalenia. 

Czy to już #RODOmaniacy 2.0?

Nie. To jest po prostu coraz więcej materiału, który wynika właśnie z tego, że nasza społeczność jest coraz większa. I czasem jak dostaję do oceny, czy do spojrzenia na dokument (tak, tak też pomagamy), to proponuję wrzucenie tematu na nasze spotkanie. I działa!

I tak samo będzie teraz. Webinar o stosowaniu przesłanki 6.1.f – czyli uzasadnione prawnie cele administratora. Weźmiemy “na tapetę” casus mecenasa z Krakowa, w którym skarżył się do Prezesa Urzędu Ochrony Danych Osobowych na PKP InterCity. Za sprawdzanie dokumentu potwierdzającego tożsamość. Będzie ogień!!! Bo temat rozgrzewa niektórych do białości wręcz. 

Czym są w takim razie #RODOmaniacy 2.0?

To są na razie dwa miesięcznie webinary na poziomie zaawansowanym. Ich celem jest tak naprawdę przygotowanie, czy pomoc w przygotowaniu do świadczenia usług IOD czy zarządzania bezpieczeństwem danych osobowych na nieco innym poziomie. Już nie czytania i doktoryzowania się nad zapisami RODO, a realne i profesjonalne rozważania fundamentów na poziomie mocno strategicznym. 

W tym przypadku wskazane jest już mieć za sobą co najmniej kilka webinarów z fundamentów, a nawet z audytu. Oraz jakiś czas pracy w ochronie danych i co najważniejsze. OTWARTY UMYSŁ. 

Pigułka będzie tym razem czarna (czerwona już zajęta). Nie wiemy, w jakim świecie się obudzimy. Ale ręczę, że warto. 

[stm_post_about_author]
[stm_sidebar sidebar=”8458″][stm_events event_style=”widget” posts_per_page=”10″]
Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener. Pracował dla firm dużych i małych, krajowych i międzynarodowych również tych, których działanie związane było z transferem danych do państw trzecich. Rozwija Metodykę Audytu Bezpieczeństwa oraz standardy związane z oceną ryzyka. Wyszkolił ponad 200 osób do pracy jako Inspektor Ochrony Danych.
Poprzedni artykuł
Model kompetencyjny – wprowadzenie
Następny artykuł
Adres e-mail pracownika – uzupełnienie

Ostatnio dodane

Przeczytaj koniecznie!

RODOmaniacy - strona marki zarządzanej przez Instytut Bezpieczeństwa i Informacji sp. z o.o. Więcej inforamcji znajdzesz w zakładce kontakt.

Ważne strony

Na skróty

Najnowsze na stronie

© RODOmaniacy. Od 2018 roku.