Mapa ryzyka

IOD gwarantem kompleksowej analizy ryzyka?

Czy obowiązki jakie nakłada europejskie rozporządzenie o ochronie danych osobowych na IOD są gwarantem kompleksowej analizy ryzyka z jego strony? Jeżeli nie, to w jakim zakresie powinni mieć w nią wkład? Jeżeli tak, to czy inspektorzy posiadają wystarczające kompetencje aby w pojedynkę przeprowadzić proces szacowania? Zgodnie z przepisami, Inspektor powinien być włączany we wszystkie działania dotyczące ochrony danych osobowych. Powinien być wyznaczany na podstawie kwalifikacji zawodowych, w tym wiedzy fachowej. Jego głównym zadaniem powinno być udzielanie zaleceń co do oceny skutków przetwarzania. Fakt, że nie może być odwołany ani karany przez administratora za wypełnianie swoich zadań dodaje smaczku postawionym przeze mnie pytaniom.

O ADO

W treść art 32. RODO administrator wdraża środki organizacyjno – techniczne aby zapewnić stopień bezpieczeństwa stosownie do zidentyfikowanego ryzyka. Jednak przed tym, ktoś to ryzyko musi zidentyfikować. Czy administrator zrobi to sam? Raczej wątpliwe, graniczące z pewnością, że nie. Bardziej prawdopodobny scenariusz zakłada, że oddeleguje wykonanie zadania komuś wewnątrz organizacji lub znajdzie podmiot zewnętrzy, który wykona za niego najbrudniejszą robotę. Z dużą dozą prawdopodobieństwa będzie to Inspektor Ochrony Danych, wewnętrzny lub outsource’owany. W wyobrażeniach administratora będzie to trafiona decyzja, ponieważ pozwoli upiec dwie pieczenie przy jednym ogniu. Oprócz tego, że ów osoba, radca prawny lub kancelaria będzie odpowiadała za prawne aspekty wdrożenia i realizacji przepisów to przy okazji przeprowadzi analizę ryzyka. Wewnętrzny inspektor jeszcze ma możliwość wymigać się od tego obowiązku wskazując na tylko „udzielanie zaleceń”, natomiast podmiot zewnętrzny raczej od tego nie ucieknie. Niewątpliwie wielu administratorom to wystarczy, ponieważ mają przekonanie, że jest chroniony „mocą prawa” jaką rozpościera IOD.

O IOD

Jak już ustaliliśmy inspektorzy z dużym prawdopodobieństwem będą za pan brat z literą prawa choć nie jest to pewnik. Zdarza się, że są to osoby zakorzenione na stanowiskach administratora bezpieczeństwa informacji, którzy z prawem nie mieli za dużo wspólnego. Czy mieli coś wspólnego z analizą ryzyka? Nie musieli, ponieważ poprzednie przepisy nie wskazywały na takie podejście, co jest widoczne po wertowaniu polityk ochrony danych proponowanych przez pseudospecjalistów lub tych kupionych w Internecie. Patrząc z kolei na oferty pracy na przedmiotowe stanowisko często pożądanym wykształceniem są studia prawnicze. Czy to wystarczająca wiedza fachowa? O uczelnie spierać się nie będę bo zdobywanie wiedzy to również kwestia samodoskonalenia. Jednak najbardziej zabawne są studia z ochrony danych osobowych na uczelniach, o których niedawno donosiły media w kontekście incydentów bezpieczeństwa informacji. A co z doświadczeniem w obszarze technologi informatycznych? Czy IOD-prawnik ma taką wiedzę? Może mieć jeżeli chce, a czy zwykle ma? Nie.

Złoty środek

Jedynym wyjściem z sytuacji jest łączenie kompetencji osób mających możliwości zarządcze, wiedzę prawną i doświadczenie w obszarze informatyki. Pod pojęciem „łączenie kompetencji” mam na myśli raczej stworzenie zespołu niż kształcenie jednostki we wszystkich kierunkach. Czy jest to łatwe, tanie i przyjemne do wykonania? Z pewnością nie, choć daje nieporównywalnie większą pewność, że analiza ryzyka będzie przeprowadzona kompleksowo. Czy administrator bez wiedzy prawniczej będzie świadom, że czynności przetwarzania jakie podejmuje to „udostępnienie” czy też „powierzenie”? a może IOD będzie świadom, że zabezpieczenie przed szkodliwym oprogramowaniem to nie tylko antywirus? Czy specjalista IT będzie świadom, że korzystanie z jakiegoś rozwiązania może naruszać podstawowe prawa i wolności osób, których dane dotyczą? A wszystkie te aspekty będą miały wpływ na szacowanie następstw „nieszczęśliwych wypadków”.

Gdybym jednak miał oceniać poziom świadomości, mający wpływ na identyfikację zagrożeń, to ustawiłbym ich w kolejności informatyk > IOD > administrator. Abstrahując od wiedzy administratora, IOD nie będzie w pełni informatykiem a informatyk w pełni IOD-em. Pierwszy będzie częściej patrzeć na ryzyko naruszenia podstawowych praw i wolności, drugi natomiast na ryzyko utraty poufności, integralności i dostępności. Nie daje to pewności, że IOD będzie gwarantem kompleksowej analizy ryzyka. Przecież dotychczas ukarani przez UODO mieli wyznaczonych inspektorów a mimo to ktoś czegoś nie dopilnował.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.