Jesteś managerem? IOD? Dyrektorem generalnym? Poznaj korzyści z przeprowadzenia analizy ryzyka RODO.
Zgodność z prawem (compliance) jako korzyść sama w sobie
Pewnie myślisz, że “kontakt z urzędem mi nie grozi, dane które przetwarzam nie są wrażliwe” lub ”jestem za mały, kto by się mną interesował, urząd do mnie nie przyjdzie” Zwróć jednak uwagę, że wystarczy że “zgubisz” niezaszyfrowany telefon z danymi osobowymi, komputer lub pendrive. Takie zdarzenie będzie prawdopodobnie kwalifikowało się do zgłoszenia do Prezesa UODO jako naruszenie.
Scenariusz 1: naruszenie nie będzie znaczne i urząd nie uzna tego zgłoszenia jako przypadku, którym się warto zająć. Scenariusz 2: urząd poprosi o ocenę zabezpieczeń w organizacji, czyli niniejszym . ocenę ryzyka.
Skala problemu rośnie wraz z liczbą zatrudnionych pracowników i osób, które organizacja obsługuje. To proste – im skala jest większa, tym większa szansa na naruszenie podlegające zgłoszeniu do organu nadzorczego.
Spojrzenie na firmę z góry
W pierwszej kolejności musisz zinwentaryzować (zmapować) organizację, tj. ustalić czynności przetwarzania – procesy (wraz z celami przetwarzania), w ramach procesów ustalić zakres danych przetwarzanych, jakich rodzajów osób te dane dotyczą, a ponadto zastanowić się jakich “narzędzi” używasz w celu przetwarzania tych danych.
Z doświadczenia wiemy, że często okazuje się, że każdy dział ma swój obyczaj. Niby organizacja stosuje te same narzędzia (np. komunikatory, narzędzia do zarządzania zadaniami, do przechowania plików itp.)., ale brakuje komunikacji między zaangażowanymi.
To wszystko staje się widoczne kiedy przeprowadzasz audyt przetwarzania danych osobowych. W efekcie otrzymasz: oszczędności oraz lepszą organizację procesów, w szczególności przechowywania i wymiany danych.
Przegląd klientów
W ramach analizy ryzyka “oglądasz” swoich klientów. Jakie dane dla nich przetwarzasz, jakie usługi dla nich świadczysz. Weryfikujesz, czy robisz to bezpiecznie.
Przeglądasz umowy z nimi zawarte. W efekcie przy okazji takiej analizy otwiera się masa szans sprzedażowych – dla nowych usług lub produktów, aktualizacji. Ze wszystkich szkoleń sprzedażowych, w których uczestniczyłem wynika, że największy potencjał na sprzedaż tkwi w dotychczasowych klientach, którzy znają twoje produkty.
CSR, czyli corporate social responsibility, tzw. społeczna odpowiedzialność biznesu
Dane osobowe to modny temat. Wszyscy chcą być zgodni z RODO. Z moich doświadczeń wszyscy wdrożyli RODO, choć niektórzy ciągle nie rozumieją istoty zagadnienia. Szacowanie ryzyka to projekt, w którego orbitę można wciągnąć więcej osób w organizacji, dzięki temu organizacja może pokazać, że zależy jej na danych: danych klientów, danych pracowników, danych kontrahentów. I nie mówię tylko o danych osobowych, choć to bardzo ważne. Chodzi mi również o dane biznesowe. Twoi ludzie widząc, że dbasz o dane osobowe, też będą o nie dbali. W nowoczesnym świecie dane stają się najcenniejszą walutą.
Przy okazji wdrożeń RODO, zabezpieczenia przesyłu i przechowywania danych osobowych, zwiększamy także bezpieczeństwo obiegu informacji obejmujących tajemnice przedsiębiorstwa, know- how, a także innych informacji mających dla nas wartość.
Jak to się dzieje?
Po pierwsze pracownicy zaczynają zabezpieczać dane, na których pracują np. szyfrować nośniki danych, zatem szyfrują nie tylko dane osobowe, ale też pozostałe informacje.
Po drugie efekt edukacji – na szkoleniach przypomina się pracownikom o tym, że nie powinni przekazywać danych osobowych obcym osobom, podświadomie tyczy się to też informacji firmowych, które często są ujawniane ot tak.
Po trzecie, tworzy się kultura organizacji, z którą pracownicy chcą się identyfikować.
Czy warto robić ocenę ryzyka?
Wskazałem zatem argumenty, dla których warto robić analizę ryzyka jako obowiązek prawny. A jeśli proces zostanie przeprowadzony mądrze, wówczas jest szansa na wartość dodaną w postaci lepszej organizacji i wyższego poziomu bezpieczeństwa w firmie.