Temat: ABI - jak w ogóle zacząć?

Witam :)
Na wstępie zaznaczę, że prześledziłam wpisy w tej grupie, internety, ustawę, rozporządzenia... nawet na podyplomówkę uczęszczam (gdzie jak na złość zajęcia z ODO będą dopiero w lutym)
Znalazłam bardzo dużo informacji o tym, jak wykonywać zadania ABI, ale nadal nie wiem jak się do tego zabrać. Wiedzę mam, gorzej z praktyką, nie mam również na kim się wzorować. Jestem ABI od tygodnia i zaczynam lekko panikować. Czy znalazłaby się jakaś życzliwa dusza, która poratowałaby mnie swoją wiedzą? Potem już wszystko pójdzie gładko :D

Temat: ABI - jak w ogóle zacząć?

Zacznij od inwentaryzacji zasobów: zbiory, obszary, nośniki ( w tym elektroniczne jak: dyski zewnętrzne, karty pamięci, płyty CD/DVD/B), urządzenia komputerowe (pamiętaj o nietypowych urządzeniach służących do przechowywania danych jak drukarki, skanery oraz o tzw. internecie rzeczy), urządzenia służące do odbierania danych ze świata zewnętrznego – nie od ludzi (czujniki elektroniczne, kamery, skanery), urządzenia służące do wywierania wpływu przez systemy informatyczne na świat zewnętrzny – elementy wykonawcze (na przykład silniki sterowane komputerowo, roboty przemysłowe, podłączony do komputera ekspres do kawy, sterowniki urządzeń mechanicznych), urządzenia służące do przetwarzania danych nie będące komputerami, oprogramowanie,, elementy organizacyjne: procedury organizacyjne, korzystania z systemu informatycznego, instrukcje robocze itp.
Zinwentaryzujcie sieć LAN (urządzenia, logiczne połączenia, fizyczna lokalizacja).

Sporządź ewidencję ludzi, którzy mogą mieć dostęp do chronionych obszarów, elementów systemu IT oraz do chronionych informacji (nie tylko pracownicy- wszyscy: stażyści, praktykanci, pracownicy sezonowi, pracownicy obcy).

Przeanalizuj kluczowe procesy: zbierania nowych danych osobowych lub zmiana celu przetwarzania, przekazywania danych poza organizację, nadawania upoważnień do przetwarzania danych, do pracy w systemie IT, do wstępu w obszary przetwarzania (szczególnie te najbardziej wrażliwe), procesy realizacji praw podmiotu danych, procesy zdalnego dostępu do urządzeń, procesy transmisji danych z wykorzystaniem sieci WAN.

Temat: ABI - jak w ogóle zacząć?

Skrót tego, od czego powinnaś zacząć:

Spis lokalizacji, gdzie są przetwarzane dane osobowe
Identyfikacja zbiorów danych osobowych (tych przetwarzanych w systemie informatycznym jak i tradycyjnie) w tym:
- jakie dane są zbierane (zwykłe czy wrażliwe)
- jaka jest podstawa prawna do ich przetwarzania
- czy zachowywana jest zasada adekwatności wobec zbieranych danych
Spis aplikacji, baz danych w których przetwarzane są dane osobowe
Gdy już będziesz miała zidentyfikowane i utworzone zbiory danych - należy utworzyć przepływy tych zbiorów pomiędzy poszczególnymi systemami informatycznymi.

Spis kontrahentów (usługodawców i usługobiorców) - jakie dane im przekazujesz. Należy zawrzeć stosowne umowy powierzenia z nimi.

Ilu pracowników przetwarza dane osobowe z racji wykonywanych obowiązków - przeszkolić tych pracowników. Dać (dostosowane pod konkretnego pracownika lub grupę pracowników) upoważnienia do przetwarzania danych osobowych.

Jeśli firma prowadzi sprzedaż internetową to:
- utworzyć politykę prywatności,
- utworzyć politykę plików cookies,
- zawrzeć odpowiednie klauzule informacyjne dot. zgód na przetwarzanie danych

Jeśli firma wysyła newsletter - tak samo, potrzeba stworzenia odpowiednich klauzul zgód na przetwarzanie danych

Jeśli zgody zbierane są w serwisach, system powinien mieć możliwość zapisywania informacji o tym, że dana osoba wyraziła zgodę na newsletter itd.- ADO musi mieć możliwość udokumentowania tego faktu.

Stworzyć wymaganą dokumentację (polityka przetwarzania danych osobowych i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych)

Na samym końcu:
Jeśli jako ABI jesteś zarejestrowana w GIODO to rejestrujesz tylko zbiory sensytywne (można je przetwarzać dopiero po pisemnej zgodzie GIODO).
Wobec pozostałych musisz prowadzić wewnętrzny rejestr zbiorów.

Temat: ABI - jak w ogóle zacząć?

Odprawię dzisiaj modły dziękczynne w Waszej intencji :D

Temat: ABI - jak w ogóle zacząć?

Przed przystąpieniem do opracowania dokumentacji warto, a nawet należy, zapoznać się z prawem wewnętrznym. Na pierwszy ogień idzie schemat organizacyjny, przepisy regulujące obrót dokumentów w organizacji, ogólne-stanowiskowe zakresy czynności.
Mając wiedzę - gdzie i co teoretycznie powinno być, rozpoznajesz bojem - czyli jak jest w rzeczywistości. Na początek warto rozmawiać z kadrami, informatykiem. W drugim rzucie, skupić się na rozmowach z kierownikami działów i ze wszystkimi pracownikami - nawet tymi, którzy nie zostali wskazani przez zwierzchników jako przetwarzających dane osobowe.
ps.
Na pytanie "czy przetwarzasz dane osobowe" - w większości, pierwszą odpowiedzią będzie NIE.

Temat: ABI - jak w ogóle zacząć?

Jakoś nam umknęły kwestie analizy ryzyka, a to też przecież dobrze na początku.
1. Spisać wszystkie zauważone podatności (nie tylko techniczne, organizacyjne też);
2. Każdemu zasobowi przypisać wartość, wyznaczyć właściciela dla każdego zasobu (pamiętać o zasobach wspierających przetwarzanie);
3. Nadzorować szacowanie ryzyka i wybór sposobu postępowania z ryzykiem;
4. Sporządzić ewidencję ryzyk i ich właścicieli.

Nic nie pominąłem?Ten post został edytowany przez Autora dnia 26.01.17 o godzinie 23:50

Temat: ABI - jak w ogóle zacząć?

Bardzo Wam dziękuję za pomoc :D Wczoraj zaliczyłam jeszcze konferencję SABI, więc pomału zaczynam widzieć światełko w tunelu.