Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Jakie korzyści uzyskasz z przeprowadzenia analizy ryzyka w Twojej organizacji?

Mikołaj Otmianowski08 października 2019Komentarze (0)

Dziś do analizy ryzyka podejdę z innej strony. Mianowicie chciałbym nakreślić jakie korzyści możesz osiągnąć Ty – jako manager, zarządca, inspektor ochrony danych (tj. IOD, DPO) w swojej organizacji. Korzyści z przeprowadzenia analizy ryzyka RODO oczywiście.

W pierwszej kolejności zgodność z prawem (compliance), to korzyść sama w sobie, bo w przypadku kontroli UODO taka analiza może być niezbędna.

Pewnie myślisz, że “kontakt z urzędem mi nie grozi, dane które przetwarzam nie są “wrażliwe”, lub ”jestem za mały, kto by się mną interesował, urząd do mnie nie przyjdzie”.

Zwróć jednak uwagę, że wystarczy że “zgubisz” niezaszyfrowany telefon z danymi osobowymi, komputer lub pendrive (a kto takiego nie ma?!). Takie zdarzenie będzie prawdopodobnie kwalifikowało się do zgłoszenia do Prezesa UODO, jako naruszenie.

Korzyści z analizy ryzyka

I fakt, możliwe, że naruszenie nie będzie znaczne i urząd nie uzna tego zgłoszenia jako  przypadku, którym się warto zająć. Ale może być inaczej i urząd poprosi  o ocenęzabezpieczeń w Twojej organizacji. A taką oceną zabezpieczeń jest właśnie ocena ryzyka.

Skala problemu rośnie wraz z liczbą zatrudnionych pracowników i osób, które organizacja obsługuje. To proste – im skala jest większa, tym większa szansa na naruszenie podlegające zgłoszeniu do organu nadzorczego.

Drugi ważny aspekt, który dla mnie osobiście jest kluczowy i stanowi clue mojego zaangażowania w analizę ryzyka, to spojrzenie na firmę z góry. O co dokładnie mi chodzi.

Ano właśnie o to, aby wykonać prawidłowo analizę ryzyka w ramach, której będziesz mógł zastosować odpowiednie środki techniczne i organizacyjne do ryzyka związanego z przetwarzaniem.

W pierwszej kolejności  musisz zinwentaryzować (zmapować) organizację, tj. ustalić czynności przetwarzania – procesy (wraz z celami przetwarzania), w ramach procesów ustalić zakres danych przetwarzanych, jakich rodzajów osób te dane dotyczą, a ponadto zastanowić się jakich “narzędzi” używasz w celu przetwarzania tych danych.

Z doświadczenia wiemy, że często okazuje się, że co dział to obyczaj. Każdy ma narzędzia do tej samej czynności, za które organizacja  płaci, a one nie komunikują się między sobą (np. komunikatory, narzędzia do zarządzania zadaniami, do przechowania plików itp.).

To wszystko staje się widoczne kiedy przeprowadzasz audyt przetwarzania danych osobowych.Tak więc efekt dla twojej organizacji to między innymi oszczędności + lepsza organizacja procesów, w szczególności przechowywania i wymiany danych.

Trzecia korzyść dla ciebie wynikająca z analizy ryzyka, to … przegląd klientów

Tak. Nie pomyliłem się. W ramach analizy ryzyka “oglądasz” swoich klientów. Jakie dane dla nich przetwarzasz, jakie usługi dla nich świadczysz. Weryfikujesz, czy robisz to bezpiecznie.

Przeglądasz umowy z nimi zawarte. W efekcie przy okazji takiej analizy otwiera się masa szans sprzedażowych – dla nowych usług lub produktów, aktualizacji. Ze wszystkich szkoleń sprzedażowych w których uczestniczyłem wynika, że największy potencjał na sprzedaż tkwi w dotychczasowych klientach, którzy znają ciebie i twoje produkty.

Zatem przyjrzyj się procesowi sprzedaży i świadczenia usług, a następnie zastanów się, jak wykorzystać informacje zebrane o klientach w procesie analizy ryzyka.

Czwarta korzyść: CSR, czyli corporate social responsibility, tzw. społeczna odpowiedzialność biznesu

Dane osobowe to modny temat. Wszyscy chcą być zgodni z RODO, z moich doświadczeń wszyscy wdrożyli RODO, ale niektórzy ciągle nie rozumieją o co w tym chodzi.

Szacowanie ryzyka to projekt w którego orbitę można wciągnąć więcej osób w organizacji, dzięki temu organizacja może pokazać, że zależy jej na danych: danych klientów, danych pracowników, danych kontrahentów. I nie mówię tylko o danych osobowych, choć to bardzo ważne. Chodzi mi również o dane biznesowe. Twoi ludzie widząc, że dbasz o dane osobowe, też będą o nie dbali. W nowoczesnym świecie dane stają się najcenniejszą walutą.

Przy okazji wdrożeń RODO, zabezpieczenia przesyłu i przechowywania danych osobowych, zwiększamy także bezpieczeństwo obiegu informacji obejmujących tajemnice przedsiębiorstwa, know- how, a także innych informacji mających dla nas wartość.

Jak to się dzieje?

  • Po pierwsze pracownicy zaczynają zabezpieczać dane, na których pracują  np. szyfrować nośniki danych, zatem szyfrują nie tylko dane osobowe, ale też pozostałe informacje.
  • Po drugie efekt edukacji – na szkoleniach przypomina się pracownikom o tym, że nie powinni przekazywać danych osobowych obcym osobom, podświadomie tyczy się to też informacji firmowych, które często są ujawniane ot tak.
  • Po trzecie, tworzy się kultura organizacji, z którą pracownicy chcą się identyfikować.

Po czwarte: bezcenna wiedza dla Ciebie

Ocena ryzyka obnaża najsłabsze punkty Twojej organizacji. Po przeprowadzeniu analizy ryzyka powstaje lista najpilniejszych tematów do poprawienia. To cenna informacja na liście priorytetów.

Zwróć uwagę, że tymi słabymi punktami mogą wyciec nie tylko dane osobowe, ale twoje oferty, informacje o klientach, stosowane rozwiązania i wiele innych informacji, którymi nie chciałbyś się dzielić z konkurencją lub rynkiem, po prostu.

Po piąte: ISO27001

Czy interesuje Cię certyfikacja w zakresie bezpieczeństwa informacji na zgodność z normą ISO27001? Usługodawcy świadczący usługi na rzecz kontrahentów z za oceanu lub Zachodniej Europy,  banków czy administracji publicznej, często są weryfikowani czy posiadają taki certyfikat.

Wiedz, że jeśli przeprowadzisz analizę ryzyka RODO to znaczną część pracy będziesz miał wykonaną. W ramach normy ISO po prostu dokonujemy oceny tych samych aktywów, ale pod kątem negatywnych korzyści dla organizacji. Czyli jednym działaniem pieczesz dwie pieczenie.

Czy to nie jest istotna oszczędność?

Po szóste: masz jakiś pomysł? czy widzisz jeszcze jakieś inne korzyści dla siebie?

Jeśli tak to napisz do mnie lub zostaw komentarz. Uzupełnię swój wpis.

Czy warto robić ocenę ryzyka?

Trzeba, bo to obowiązek prawny. A jeśli się zrobi to z głową, to możesz otrzymać dodatkową wartość w postaci lepszej organizacji i wyższego poziomu bezpieczeństwa w Twojej firmie.

pozdrawiam

Mikołaj

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez DAPR sp. z o.o. Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest DAPR sp. z o.o. z siedzibą w Chatham, NJ.

Kontakt z Administratorem jest możliwy pod adresem m.otmianowski@dapr.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: