Kontynuując wątek organizacji ochrony danych osobowych, który zacząłem wczoraj, dziś kilka zdań rozszerzenia w dwóch tematach:

Reklama
  • Czy IOD nie mając danych dotyczących procesu powinien włączać się w jego organizację?
  • Jak rozwiązać kwestie “kto od czego jest” w firmie?

Niezależność IOD-a

Pierwsza kwestia jest bardzo istotna. Elementem dyskusji (od ponad 20 lat w sumie) jest to, jak bardzo Inspektor Ochrony Danych powinien być niezależny, aby właściwie wykonywał pracę. Organizacji tejże pracy i nazwijmy to środowiska pracy poświęcony jest aż rozdział w RODO. I do tych przepisów nieco nawiążę:

Art 38.6.   Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Oznacza to, że obowiązki nie powinny kolidować z wykonywaniem zadań nadzoru nad ochroną danych osobowych. Jednym z poważniejszych konfliktów, który niemal całkowicie wyłącza niezależność jest udział w tworzeniu konkretnego systemu. Trudno uznać, że tworząc własne rozwiązania, w dniu audytu nagle twórca czy też architekt tego rozwiązania będzie “super-ekstra” niezależny. Oczywiście pozostawiam to rozwadze osób które wykonują zadania IOD.

Kto jest od czego w firmie?

Ta kwestia jest szczególnym wątkiem w wielu dyskusjach w kontekście nie tylko RODO ale i ogólnie organizacji firmy oraz oczywiście również bezpieczeństwa. Jako, że #RODOmaniacy to strona poświęcona RODO i ochronie danych osobowych, a wątek kontynuowany już w kilku artykułach dotyczy Inspektorów Ochrony Danych, to zajrzyjmy znów do przepisu:

Art 38. 2.   Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

Zasoby jest słowem kluczem. Otóż w wielu przypadkach zasoby są rozumiane jako, rzeczowe, finansowe czasem ludzkie. Budżet, komputer do pracy, miejsce pracy, człowiek do pomocy. Ale jednym z istotniejszych zasobów jest INFORMACJA czy zasoby informacyjne. 

Odnosząc do klasyfikacji zasobów i treści z przepisu, IOD powinien do swej pracy mieć dostarczone nie tylko miejsce pracy, środki pracy (rzeczowe), budżet ale też i informację. A tę powinien dostarczyć każdy z właścicieli procesów. Jeśli takiego nie ma wyznaczonego, właścicielem procesu jest osoba wyżej w strukturze czyli np. dyrektor działu, wydziału, a nawet szef czy właściciel firmy. NIestety fatalną praktyką jest, że niektóre elementy nazwijmy to osierocone w organizacji przypadają w udziale Inspektorowi Ochrony Danych. W swojej pracy nawet dotarłem do źródła takiego podejścia. W wielu przypadkach IOD ma podstawę czy wręcz jest prawnikiem, więc właściciele czy zarządzający firmami idą nieco na skróty uznając, że wszystko to prawo. Niestety tak nie jest, ale to na inny naprawdę obszerny artykuł. 

A co na to IOD? Wielu poddaje się procesowi adopcji osieroconego procesu i… przestaje być niezależnym. O czym napisałem w pierwszej części. 

Poradnik

Mając już zidentyfikowane te dwa problemy – niezależność i osierocenie procesów warto zastanowić się, jak się nimi zaopiekować. Rozwiązaniem może być siatka bezpieczeństwa. Jest to narzędzie wprowadzone do przepisów związanych z zarządzaniem kryzysowym. Przez lata w tej części bezpieczeństwa panował dość duży… problem. Związany z kompetencjami. Można go nazwać mniej więcej tak:

“Pierwszy do orderów, ostatni do roboty”

Organizacyjnie

Siatka bezpieczeństwa jest macierzą, na której nałożone są zagrożenia (np w wierszach) oraz komórki, instytucje, organizacje (w kolumnach). Na przecięciu natomiast określenie roli. W zarządzaniu kryzysowym stosowane są różne role, nam naprawdę wystarczą dwie:

  • Wiodący, oznaczony wielką literą W – czyli komórka wiodąca w danym obszarze (wyznaczona z regulaminu organizacyjnego)
  • Pomocniczy oznaczony wielką literą P – czyli komórka, której zadaniem jest wspieranie w konkretnym działaniu. 

Modyfikacje, czyli organizacja dojrzała

Jeśli pracujecie w organizacji dojrzałej, możecie dodać jeszcze dwie rzeczy. Typy komórek oraz etapy procesów. 

  • K – komórka koordynująca. 

Występuje często w procesach cross-organizacyjnych (trudno mi znaleźć nazwę). Takim procesem jest np. szacowanie i ocena ryzyka na szczeblu korporacyjnym. 

Co do etapów procesów, w zarządzaniu kryzysowym są planowanie (poważnie… nadal mam z tego ubaw), prewencję, reakcję i odbudowę. W systemach, w których wdrażałem zintegrowane systemy zarządzania bezpieczeństwem stosowałem te trzy. A przy organizacjach dojrzałych poszerzałem aż o cały proces zarządzania bezpieczeństwem. Dla przypomnienia etapy: identyfikacja procesów i zasobów, wartościowanie zasobów, analiza zagrożeń, szacowanie i ocena ryzyka, strategia bezpieczeństwa (plan postępowania z ryzykiem), realizacja (personel, technika, wiedza, dokumentacja, realizacja), zarządzanie incydentami, zarządzanie kryzysowe, ciągłość działania (dziś coraz częściej odporność i trwałość organizacji), odbudowa. Oczywiście siatka wtedy robi się dość obszerna. 

IOD – wiodący

W procesie pomocniczym, jakim w organizacji jest zarządzanie bezpieczeństwem, klasa – bezpieczeństwo informacji, podklasa ochrona danych osobowych, wiodącym będzie… manager bezpieczeństwa danych osobowych bądź specjalista. Nadzorować go będzie IOD. To tak z formalnego punktu widzenia, bo wiem że nadal IOD jest tym, co organizuje, wdraża i nadzoruje ochronę danych osobowych. Tym bardziej, że zapis art 39.1.b jest dość hmm… trudno to nazwać:

monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

Przegadane przy morzu… kawy. Gdyby tutaj o nadzór tylko chodziło (to dla fanów wykładni słownikowej) to byłoby zapisane:

w monitorowanie podziału obowiązków, działań zwiększających… szkoleń… audytów.. 

Dyskusja na inny wątek, wracamy do naszej siatki bezpieczeństwa. IOD jest oznaczony na przecięciu literą W. W jak władza. 

W praktyce:

  • Bierzemy regulamin organizacyjny
  • Czytamy, kto ma jakie zadania 
  • Wiedząc czego potrzebujemy (nie jesteśmy ekspertami przecież) zaznaczamy P i… piszemy sobie na dole co to P oznacza. 

P oznacza co do zasady:

  • Opisanie sposobu POMOCY IOD w zakresie merytorycznym;
  • Możemy sobie to rozpisać na te trzy etapy, jak w zarządzaniu kryzysowym. 

Przykład: 

IOD i szef ochrony fizycznej. Dla przypomnienia, ochrona fizyczna dzieli się na:

  • Bezpośrednią ochronę fizyczną;
  • Zabezpieczenie techniczne.

Natomiast sama ochrona fizyczna to działania zapobiegające przestępstwom i wykroczeniom przeciwko mieniu, a także przeciwdziałające powstawaniu szkody wynikającej z tych zdarzeń oraz niedopuszczające do wstępu osób nieuprawnionych na teren chroniony. Jak widać w tym zakresie wsparcie pracownika ochrony i zabezpieczenia technicznego będzie obejmowało:

  • Analizy zagrożeń zdarzeń jak wyżej. W tym kradzieży, dewastacji, i innych (w rozumieniu wtargnięcia do pomieszczeń gdzie są dane osobowe, kwestie organizacji ruchu, zabezpieczeń elektronicznych i mechanicznych, rzadziej budowlanych);
  • Zabezpieczenia pomieszczeń formami ochrony opisanymi w art. Ustawy o ochronie osób i mienia. Przy czym mała dygresja do wczorajszego artykułu. W Ustawie nie ma METOD. Znów… stosowanie przepisu prawa wymaga wiedzy zawodowej, branżowej. Aby wiedzieć, gdzie wystawić posterunek stały, a gdzie skierować patrol. Gdzie ma być konwój, a gdzie posterunek doraźny (np. jak okaże się, że elektroniczny system kontroli dostępu nie działa). 
  • Procedury reagowania w sytuacji podejrzenia włamania do pomieszczeń (dla IOD – naruszenia ochrony danych);
  • Kwestii zabezpieczenia danych osobowych w trakcie ewakuacji, albo innych zdarzeń kryzysowych (to w uzgodnieniu z Inspektorem lub Specjalistą Ochrony Przeciwpożarowej)

Oraz sporo innych, ale nie chodzi o opisanie wszystkiego z góry do dołu. 

IOD – pomocniczy

Niech już będzie przykład z pracownikiem ochrony. Zadania są identyczne. Security Manager (nadzorujący z ramienia zleceniodawcy), bierze regulamin i czyta podobnie. I znów, od IOD-a żądamy.. a jakże, ja ŻĄDAM!

  • Określenia zagrożeń dla danych osobowych przetwarzanych w procesie zapewnienia ochrony fizycznej;
  • Określenia zasad ochrony;
  • Nadzorowana i audytowania oraz dostarczania informacji o nieprawidłowościach;
  • Wsparcia przy obsłudze incydentów i naruszeń ochrony danych;
  • Pozostałe wynikające z procesu.

Bo to proces Security Managera, w którym IOD jest pomocniczy. Małe studium przypadku w celu zrozumienia. 

Studium

Logistyka, spedycja. Dość drogie towary. Wyjeżdżają dwa zestawy (ciągnik z naczepą). Łącznie towar za 2 miliony złotych (przykład sprzed kilku lat). Proces wygląda mniej więcej tak (kawałek procesu)

Pracownik ochrony wykonujący zadania w zakresie nadzoru nad ruchem osobowym i materiałowym (zadanie własne ochrony):

  • Otrzymuje CMR, czyli międzynarodowy list przewozowy na którym są wszelkie dane dotyczące transportu, nadawcy, etc. 
  • Sprawdza prawidłowość transportu, czyli zgodność danych zawartych w CMR-ce ze stanem faktycznym.
  • Może dokonać jeszcze dodatkowych czynności (np. oględzin pojazdu, linki celnej, ciągłości plandeki, etc – zależy jak to w firmie jest zorganizowane). 
  • Potwierdza to oczywiście w swoich dokumentach i zwalnia transport (wypuszcza). 

Ten przypadek, gdzie wyjechały dwa zestawy związany był z prostackim sfałszowaniem CMR-ki. Z ogromnym zdziwieniem ABI (bo to kilka lat temu) dowiedział się, że nie zaprojektował i nie wdrożył właściwych środków ochrony danych osobowych w zakresie nadzoru nad integralnością tych danych w CMR-kach i w systemie awizacyjnym. Bo tak naprawdę to był problem z integralnością zwaną czasem poprawnością danych czy jakością danych. Oczywiście były przepychanki, ale… po naniesieniu na siatkę bezpieczeństwa nagle szef firmy zrozumiał. Ma specjalistę od ochrony informacji i danych osobowych (dwóch). Ale ich zdaniem kwestie poprawności i bezpieczeństwa tych informacji powinien sobie “rozkminiać” szef ochrony, security manager i szef logistyki. No chyba jednak nie… 

Dla przypomnienia z podstaw ochrony informacji. Dane muszą być co najmniej integralne, dostępne i poufne, aby ich użyć. A mechanizmy zapewniające utrzymanie tych atrybutów bezpieczeństwa są wdrażane przez “bezpiecznika” od informacji. 

Podsumuję

Mam nadzieję, że nieco pokazałem przykładów gdzie są jeszcze dane osobowe, choć artykuł dotyczy raczej tego co IOD powinien robić, a czego nie. 

Miejsc standardowo pomijanych jest dużo więcej. Systemy logistyczne to tylko kawałek. Są jeszcze dane na produkcji, gdzie np. posiłki i napoje są dostarczane przez zewnętrzny catering. Są na hali produkcyjnej, gdzie wrzucany jest mail z informacją o tym, że jakaś firma jakimiś pracownikami będzie wykonywać prace remontowe. I za każdym razem te dane przepływają od zamawiających, przez realizujących, nadzorujących (ochrona, BHP, dział odpowiedzialny za odebranie prac, czasem strażak czy ochrona środowiska). Dlatego wracamy do opisywania, gdzie jeszcze są dane osobowe.