Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Jak efektywnie ograniczyć ryzyko niezgodności

25-09-2017 Autor: Jan Anisimowicz
Przykładowe zestawienie...

Wdrożenie rodo jest dla większości firm dużym wyzwaniem. Rodo, które zacznie być stosowane w maju 2018 r., dotyka tematu ochrony danych osobowych w bardzo wielu obszarach. Jednym z nich są wymagania związane z podmiotami przetwarzającymi powierzone im dane osobowe.

 

W trakcie rozmów przeprowadzonych z przedstawicielami kilkudziesięciu organizacji korzystających z usług zewnętrznych zauważyłem, że często ten temat nie jest postrzegany jako istotny. Dopiero omówienie kluczowych kwestii związanych z zadaniami świadczonymi przez podmioty zewnętrzne oraz wynikających z tego implikacji sprawiło, że u rozmówców wzrosła świadomość znaczenia tego zagadnienia.

W ramach weryfikacji stopnia znajomości swoich dostawców proponuję próbę udzielenia sobie odpowiedzi na przykładowe pytania przedstawione w tabeli poniżej.

Jeżeli na wszystkie pytania odpowiedź brzmi TAK, można spokojnie zająć się innymi sprawami. W przypadku odpowiedzi NIE lub NIE WIEM na którekolwiek z pytań, warto zgłębić temat regulacji powierzenia przetwarzania danych określonych w rodo i zaplanować odpowiednie działania w ciągu najbliższego roku.

 

Podmiot przetwarzający – poznaj swojego dostawcę


Zgodnie z art. 4 rodo:

  • „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
  • „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Administrator ustala cele i sposoby przetwarzania, które później może realizować sam lub przy wsparciu podmiotu przetwarzającego. Korzystanie z usługi zewnętrznej zawsze wiąże się z pewnym ryzykiem, które powinniśmy odpowiednio oszacować. Na podstawie tej oceny będziemy mogli stwierdzić, czy współpraca z danym podmiotem (dostawca, kontrahent, partner biznesowy, firma zewnętrzna, organizacja, podmiot przetwarzający, są używane zamiennie) przynosi nam uzasadnione korzyści biznesowe w ramach ryzyka, które jest przez nas akceptowalne.

Warto w trakcie współpracy (lub przed jej nawiązaniem) opracować „profil ryzyka” dla dostawców świadczących nam usługi.


Poniżej przedstawiam kroki, które można wykonać, aby lepiej poznać swoich dostawców.

 

Zbudujmy listę naszych dostawców.


Jeżeli z naszą organizacją współpracują dziesiątki lub setki firm zewnętrznych, stworzenie listy dostawców może okazać się prawdziwym wyzwaniem. Zazwyczaj główną trudnością jest brak pełnej wiedzy na temat kontrahentów, szczególnie mniejszych, świadczących usługi albo dostarczających towary o niskiej wartości lub dla wąskiego obszaru biznesowego. Tymczasem firma powinna znać wszystkich partnerów, z którymi współpracuje, w każdym obszarze swojej działalności. Co więcej, ich dane powinny być zebrane w jednej spójnej bazie. Wszystkie bez wyjątku. Na późniejszym etapie będziemy mogli dzięki temu ustalić, które z nich są istotne z punktu widzenia przetwarzania danych osobowych.

 

Zbudujmy listę usług, które świadczą nam firmy zewnętrzne


Lista usług powinna opisywać cały obszar, w którym uzyskujemy wsparcie od organizacji zewnętrznych. Do każdej usługi powinniśmy także dodać cechę jej istotności dla naszej działalności (rekomendowane jest stworzenie zamkniętej skali numerycznej lub domeny jakościowej). Posiadanie informacji o istotności usług pomoże nam dokładniej zbudować profil ryzyka dla każdego partnera.

 

Dokonajmy powiązania dostawców z poszczególnymi usługami.


Na podstawie stworzonego powiązania będzie można ocenić, które organizacje będą wymagały dodatkowej uwagi (np. przetwarzają nasze dane, w tym dane osobowe, hostują lub są dostawcami naszych systemów informatycznych). Każda organizacja może świadczyć więcej niż jedną usługę. Po zakończeniu tego etapu będziemy wiedzieć, jakich mamy partnerów i jak ważne usługi świadczą naszej firmie.

 

Tworzenie profilu ryzyka dla każdej organizacji.


Kolejny krok to zbudowanie profilu ryzyka. Każdą organizację, z którą współpracujemy, warto ocenić w dwóch wymiarach:

Wymiar 1: Ryzyka związane z potencjałem organizacji jako wynik prowadzenia przez nią działalności biznesowej;
Wymiar 2: Ryzyka powiązanego z usługami świadczonymi dla naszej firmy.

Zadanie to można wykonać za pomocą odpowiednio przygotowanego kwestionariusza

[...]

Autor jest ekspertem GRC, prelegentem na polskich i zagranicznych konferencjach z obszaru GRC, BI, BIG DATA, RODO. Propagatorem podejścia RegTech i FinTech.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.