Analiza ryzyka to super narzędzie

wndr_coaching

Zmiany przepisów wprowadzone Rozporządzeniem o ochronie danych osobowych (RODO), przyjętym przez Parlament Europejski 14 kwietnia 2016 r. stanowią problem nurtujący obecnie wszystkich przedsiębiorców i organizacje. Mamy jeszcze chwilę, bo choć zmiany już weszły w życie, to egzekwowane będą dopiero od maja 2018 roku.

     Świadomy przedsiębiorca czy szef jakiejkolwiek organizacji powinien sam walczyć o zabezpieczenie danych osobowych, które przetwarza. Powinien spojrzeć przez pryzmat własnej osoby: czy chciałby, aby jego dane wypłynęły np. z banku lub od ubezpieczyciela, ze sklepu Internetowego czy z firmy usługowej, a może od lekarza?

     Mimo że sprawa jest oczywista, mam poważne wątpliwości, czy wszyscy rozumieją potrzebę i wagę chronienia danych osobowych. Dzisiaj np. usłyszałam: wziąłem COŚ z Internetu, a martwić się będę, jak przyjdzie kontrola. Tylko jaka jest szansa, że akurat do mnie przyjdzie? Niestety, to dość częste, choć nie zawsze skuteczne remedium na nasze narzekania na biurokrację, przygotowywanie papierów dla samego faktu ich posiadania tak, by w razie kontroli „coś mieć”.
A przecież, jeśli nie chcemy, by skądkolwiek wyciekały nasze dane, to chyba powinniśmy świadomie zadbać także o bezpieczeństwo przetwarzanych w naszej firmie czy organizacji danych naszych pracowników czy klientów.

     Co zmienią europejskie przepisy w tym zakresie? Bardzo wiele. Sami będziemy decydować o tym, jakie będziemy posiadać dokumenty, jakie procedury i w jaki sposób będziemy pilnować bezpieczeństwa danych osobowych. Nikt nam nie zapisze katalogu czynności do wykonania, aby być bezpiecznym.
Jeszcze nie raz będziemy dobrze wspominać Rozporządzenie z roku 2004, które teraz (w momencie pisania tego artykułu) nadal obowiązuje. Dlaczego? Bo ono podaje wykaz tego, co musimy mieć zrobione, by nam nic nie groziło w przypadku kontroli.

     A od maja 2018 roku jednakowe przepisy obowiązywać będą całą Unię Europejską. Ma być po prostu bezpiecznie. A jak? Tak jak sami sobie to przygotujemy! Nikt za nas niczego nie wymyśli i jeśli nie „załatamy wszystkich dziur”, czyli np. luk programowych czy organizacyjnych, to narazimy dane osobowe na utratę bezpieczeństwa. A za to będą grozić ogromne, jak na polskie warunki wręcz niewyobrażalne, kary finansowe.

     Rozporządzenie ceduje na przedsiębiorców czy organizacje decyzję, w jaki sposób należy zabezpieczyć przetwarzane w nich dane osobowe. Nadto wymaga prowadzenia stałej udokumentowanej analizy ryzyka w tym zakresie. To właśnie na podstawie profesjonalnie przeprowadzonej analizy ryzyka można decydować o sposobie zabezpieczenia danych osobowych, przesuwaniu środków finansowych na to zabezpieczenie, tworzeniu dokumentacji itp.

     Analiza ryzyka jest narzędziem pozwalającym na bieżącą weryfikację sytuacji
i podejmowanie natychmiastowych reakcji, a przede wszystkim na zachowanie rozsądku w zarządzaniu ochroną danych osobowych. Nie można zarządzać ad hoc, trzeba wprowadzić system, system oparty na analizie ryzyka.

     Warto znać jeden z zapisów Rozporządzenia, mówiący o tym, że w przypadku naruszenia ochrony danych osobowych administrator danych osobowych ma 72 godziny na zgłoszenie tego faktu do organu nadzoru. Pytanie, co zrobić, aby taka sytuacja nie wystąpiła? Odpowiedź jest tylko jedna: dobrze przeprowadzić analizę ryzyka, odpowiednio do jej wyników zabezpieczyć przede wszystkim te obszary, w których występuje największe niebezpieczeństwo naruszenia, przeszkolić ze zrozumieniem cały personel, a wszystko przy zastosowaniu ekonomicznie uzasadnionych działań.

     Zmiany muszą być wprowadzone do maja 2018 r., warto więc pomyśleć o tym już teraz i postarać się spokojnie przygotować, bo jak wiadomo pośpiech rodzi zwykle dwa problemy: wzrost kosztów i mniejszą rzetelność wykonania. A wykonać należy rzetelnie.

     Pamiętajmy, że jak się spieszymy, nie mamy czasu na poszukiwanie najlepszych rozwiązań, a najlepszych - nie znaczy najdroższych. Trzeba znaleźć optymalne, za rozsądną cenę, chodzi bowiem o to, aby faktycznie być zabezpieczonym, a nie tylko zrobić cokolwiek, jak najniższym nakładem środków finansowych. System ma działać skutecznie, a nie tylko „ma być”. Bo tylko wtedy spełnimy wymagania Rozporządzenia.

     Niektóre firmy będą zobowiązane do powołania osoby DPO, czyli Data Protection Officer (oficera bezpieczeństwa informacji - coś na wzór obecnego ABI). Czy DPO przyjmie odpowiedzialność, jeżeli system nie będzie do tego przygotowany? Czy go znajdziecie bez wcześniejszego przygotowania, stworzenia analizy ryzyka i dostosowania firmy czy organizacji do nowych przepisów Unii Europejskiej?

Z tym zapytaniem zostawiam Państwa i proponuję przemyśleć, czy warto zająć się temat już teraz?finisz

KSZTAŁCENIE USTAWICZNE

 

bannerek_na_prawa_biblioteka

WYDANIA PAPIEROWE

okladki_portal