GoldenLine
Zaloguj się
Radosław Zieliński

Radosław Zieliński

Temat: Analiza ryzyka w rodo

Rodo, to rewolucja w ochronie danych osobowych. Jednoznacznie wskazuje konieczność uwzględniania ryzyka. To zaś nierozłącznie wiąże się z koniecznością przeprowadzenia procesu analizy ryzyka.

Niech ta dyskusja odpowie na pytanie: - Kto ma wykonać analizę ryzyka? Czy ma to być IODo czy ktoś inny i dlaczego?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Radosław Z.:
Rodo, to rewolucja w ochronie danych osobowych. Jednoznacznie wskazuje konieczność uwzględniania ryzyka. To zaś nierozłącznie wiąże się z koniecznością przeprowadzenia procesu analizy ryzyka.

Szacowania i oceny? (assessment nie analysis). Chyba że o zagrożeniach. To analiza.
Niech ta dyskusja odpowie na pytanie: - Kto ma wykonać analizę ryzyka? Czy ma to być IODo czy ktoś inny i dlaczego?

Zaimplementować to co robiono aby uzyskać zgodność z art 36 UODO?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Analiza ryzyka w rodo

Grzegorz K.:
Szacowania i oceny? (assessment nie analysis). Chyba że o zagrożeniach. To analiza.
Proces analizy ryzyka często jest pojmowany jako analiza ryzyka. Oba pojęcia mają inne znaczenie. Proces, to wszelkie czynności związane z rozpoznaniem, analizą ryzyka, dostosowaniem oraz oceną tych działań.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

To pokrótce. Będzie też w poście, dlaczego uważam, że wiem ;-) (już mi personalnie jeden adwersarz jeździł, więc od razu wyjaśnię).

Po pierwsze wchodzą nowe przepisy, mają swój słownik pojęciowy, więc jego trzeba się trzymać. Zawsze o to apelowałem, nie zawsze z dobrym skutkiem i teraz dowiaduję się że w ramach audytu bezpieczeństwa danych osobowych wykonuje się identyfikację danych... (SIC!). Czyli robi się element procesu, który potem jest poddany audytowi. Kuriozum.

Dlatego pytanie - o które działanie Ci chodzi? Art 35?

Po drugie mam mocne zastrzeżenia do tłumaczenia. I tu jest pewna ważna sprawa. Wiele wyrażeń idiomatycznych jest TŁUMACZONYCH WPROST. Określenie "high - risk" jest właśnie takim określeniem (podobnie jak low-risk) i nie powinno być tłumaczone. Przez co wychodzą kwiatki, pt analiza ryzyka. Dlatego proponuję czytać RODO ze swoim odpowiednikiem w języku angielskim.

Po trzecie - w GDPR jest najczęściej risk assessment. A risk assessment jako proces składa się z:
1. risk identification (identyfikacja ryzyka)
2. risk analysis (analiza ryzyka)
3. risk evaluation (ocena ryzyka)
Za ISO 31000

A po tym następuje kolejny etap - risk treatment.

W polskich tłumaczeniach nawet czasem nie pokuszono się o przetłumaczenie evaluation jako ocena, tylko po prostu mamy ewaluację ryzyka (tak jak ewaluację szkoleń).

W związku z powyższym nadal pytanie - chodzi Ci o jeden z etapów szacowania i oceny (assessment) czy o całe szacowanie i ocenę?

Idąc dalej - znów kolejny przepis prawa, zaraz za standardem strasznie czepił się słowa ryzyko, mimo, że nadal dotykamy kwestii związanych z ochroną podstawowych dóbr i wolności człowieka. Prywatności i ochrony danych.

W związku z powyższym, nieco popsuję Ci wątek bo zadam pytanie (które już nawet w jednym artykule cyklu o RODO zadałem). W sumie to zadam dwa:
Jaki poziom utraty prywatności jest akceptowany?
Jaki poziom utraty poufności, integralności, dostępności danych osobowych jest akceptowany?

Bo skoro mówimy o ryzyku, to po pierwsze mamy poziom akceptowany, a po drugie mamy podstawowe 4 strategie. Akceptację, redukcję, transfer i unikanie. Strategie z kategorii "treatment" (lubię tłumaczenie - leczenie ryzyka, przemawia do mnie) mówią o odpaleniu pewnego poziomu, powyżej którego ryzyko przestaje być akceptowalne.

Dlatego tu mam wrażenie, że wchodzi nam "spłaszczenie lingwistyczne" terminu i pojęcia high risk. Bo high risk w kontekście narażania danych osobowych i prywatności oznaczać będzie zupełnie co innego niż "risk level" z szacowania i oceny.

Teraz skąd wiem. Ano stąd, że od ponad 3 lat jestem członkiem BSI i w ramach wolontariatu pracuję nad standardami BS i ISO (BSI jest jednym z ważniejszych członków). Do tego pracuję w UK i na co dzień mam do czynienia z branżowym angielskim. High risk jest stosowany we wszystkich standardach - bezpieczeństwo żywności, bezpieczeństwo fizyczne, bezpieczeństwo informacji, BHP (H&S) i wszędzie tam oznacza własnie to co napisałem. IDIOM.

Dlatego moja propozycja - zastanówmy się CO należy robić w ramach RODO. I dopiero potem KTO ma to robić.

Choć odpowiedź na to drugie jest dość banalna. Patrząc na umocowanie i role IODO (czyli w szerokim kontekście), w tym fakt że istnieje możliwość jednego IODO na kilka firm, nawet nie powiązanych kapitałowo, nie ma fizycznej możliwości aby on wykonywał jakiekolwiek analizy, szacowania i oceny. Idąc dalej - choć t ojuż za daleko. Otóż szacowanie ryzyka związnego z naruszeniem przepisów (naruszenie ochrony danych i prywatności), w ujęciu definicyjnym (czyli wprost z definicji) jest dla IODO NIEMOŻLIWE. Bo te zdarzenia uruchamiają (mogą uruchomić):
1. Skutki reputacyjne
2. Skutki finansowe
3. Skutki operacyjne
4. Skutki prawne

I zostając na tych 4 rodzajach skutków (niektórzy mówią, że to rodzaje ryzyka, ale nie zgadzam się). Czy IODO, mając specjalizację w ochronie danych osobowych i ochronie prywatności:
1. Ma dostęp do danych i potrafi ustawić skale skutku reputacyjnego? I czy to jest jego domena? Np. czy zna zasady i sposoby wyceny wartości marki, zna strukturę klientów stałych, czyli np wie, że za stałego uważa się klienta, który spełnia kilka parametrów (lojalność wobec marki, określony poziom zakupów czy korzystania z usług), zna ambasadorów marki etc, etc etc i co najważniejsze - wie jaka kombinacja utraty stałych i ambasadorów plus spadek wartości marki, będzie oznaczać, że się zmaterializowało ryzyko?
2. Jw - tyle że finansowe, ze swoimi parametrami
3. Jw tyle, że operacyjne, w tym w podziale na działania główne i pomocnicze,
4. Jw tyle, że prawne w ujęciu UE i w ujęciu krajowym (plus ewentualnie krajów na których spólka działa, że przypomne tylko Estonię).

Nie ma? Jasne, że nie. Dlatego proponuję czytać "high risk" tak jak opisałem. A traktować naruszenie ochrony danych osobowych i prywatności jako coś niedopuszczalnego. A High risk w tym kontekście - jako wysokie prawdopodobieństwo zmaterializowania się tejże utraty (jak pisałem - idiom, nie tłumaczenie wprost).
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Analiza ryzyka w rodo

Grzegorz K.:
Po pierwsze. W Polsce urzędowym językiem jest język polski (dlatego np. należy używać rodo, a nie GDPR). Wszelkie obowiązujące powszechnie akty prawne mają być w tym języku. Powoływanie się na własną interpretację językową jest publicystyką.

Po drugie. Powoływanie się na komercyjne rozwiązania (ISO) w dyskusji o przepisach prawa powszechnie obowiązującego (rodo) jest nieporozumieniem.

Po trzecie. Skoro ktoś nawołuje adwersarzy do trzymania się pojęć słownikowych, to warto by było by wskazał o jakie pojęcie chodzi. Jak zostało opisane przez kogoś, a jak brzmi jego legalna definicja.

Po czwarte. Dyskusja z własną interpretacją ("audyt bezpieczeństwa danych osobowych") nie wiele wnosi do meritum.

Na koniec. Pytanie brzmiało Kto ma wykonać a nie, co to jest analiza ryzyka.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Radosław Z.:
Grzegorz K.:
Po pierwsze. W Polsce urzędowym językiem jest język polski (dlatego np. należy używać rodo, a nie GDPR). Wszelkie obowiązujące powszechnie akty prawne mają być w tym języku. Powoływanie się na własną interpretację językową jest publicystyką.

Po pierwsze, to nie ma zaznaczone w wątku, że dyskusja ma dotyczyć GDPR w Polsce i stosowana przez Polaków. Niektórzy mają nieco mniej komfortu i obsługują firmy anglojęzyczne i polskojęzyczne, tworząc np dwujęzyczną dokumentację.

Także sorry, ale w dyskusji o GDPR/RODO będę używał i korzystał z obu wersji aby lepiej zrozumieć kontekst. I tym też się będę dzielił.
Po drugie. Powoływanie się na komercyjne rozwiązania (ISO) w dyskusji o przepisach prawa powszechnie obowiązującego (rodo) jest nieporozumieniem.
Poważnie???

Hm...

Art 43...
b) krajową jednostkę akredytującą określoną zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 (1) – zgodnie z EN-ISO/IEC 17065/2012

Idąc dalej chwilę wcześniej jest o kodeksach (gdzieś w okolicach art 40. Analizując i obserwując działania GIODO mam wrażenie, że seria ISO w tym ISO 31000 do ryzyka i ISO 27k do bezpieczeństwa informacji będą miały ogromną rolę. Przynajmniej jako poradniki.

To przekonanie buduje we mnie np ostatnie ogłoszenie GIODO o naborze do zespołu inspekcji. O tu:
http://www.giodo.gov.pl/430/id_art/10038/j/pl

I jako dodatkowe atuty wskazywane są właśnie te normy:
Dodatkowe atuty:

doświadczenie w zarządzaniu bezpieczeństwem informacji, ciągłości działania oraz ochronie danych osobowych,
znajomość norm ISO 27001, ISO 27002, ISO 31000,
znajomość standardów i metodologii prowadzenia audytów wewnętrznych,
Certyfikat Audytora wewnętrznego/Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001:2013,
umiejętność analitycznego myślenia.

Choć brakuje mi w przypadku audytów odesłania do ISO 19011 - bo taka jest. Ewentualnie ISO 27007 - która w sumie w większości i tak odsyła do ISO 19011.

Oczywiście mimo tych wszystkich standardów, każdy ma prawo do tworzenia własnych rozwiązań. I tego nie neguję, jednak moim zdaniem wyważanie otwartych drzwi jest mało celowe - ekonomicznie i z punktu widzenie efektywności. Te ostatnie - ktoś już to po prostu zrobił i nie ma co testować, tylko korzystać z wiedzy.

Po trzecie. Skoro ktoś nawołuje adwersarzy do trzymania się pojęć słownikowych, to warto by było by wskazał o jakie pojęcie chodzi. Jak zostało opisane przez kogoś, a jak brzmi jego legalna definicja.

Przejrzałem któryś raz z rzędu art 4 - Definicje. I chyba przeoczyłem.
Po czwarte. Dyskusja z własną interpretacją ("audyt bezpieczeństwa danych osobowych") nie wiele wnosi do meritum.

To jest przykład do apelu. I będzie pewnie więcej, żeby obrazować.
Na koniec. Pytanie brzmiało Kto ma wykonać a nie, co to jest analiza ryzyka.

To żeby doprecyzować. Co rozumiesz przez analizę ryzyka? Bo jak widać rozumiemy co innego. Chętnie odpowiem, jeśli sprecyzujesz o co pytasz.

Wbrew pozorom to nie tylko semantyka.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Analiza ryzyka w rodo

Grzegorz K.:
Po drugie. Powoływanie się na komercyjne rozwiązania (ISO) w dyskusji o przepisach prawa powszechnie obowiązującego (rodo) jest nieporozumieniem.
Poważnie???
Poważnie
Art 43...
b) krajową jednostkę akredytującą określoną zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 (1) – zgodnie z EN-ISO/IEC 17065/2012
rodo art. 42.3. Certyfikacja jest dobrowolna...
To znaczy, że dla udokumentowania przestrzegania prawa, podmiot, nie musi stosować rozwiązań komercyjnych.
To przekonanie buduje we mnie np ostatnie ogłoszenie GIODO o naborze do zespołu inspekcji. O tu:
http://www.giodo.gov.pl/430/id_art/10038/j/pl
Certyfikacja, jako fakultatywna, winna być poddawana analizie. Dlatego od kandydatów oczekuje się dodatkowych atutów - Dodatkowych czyli takich, które nie mogą wprost decydować o zatrudnieniu. To tylko potwierdza wcześniejszą tezę.
Po trzecie. Skoro ktoś nawołuje adwersarzy do trzymania się pojęć słownikowych, to warto by było by wskazał o jakie pojęcie chodzi. Jak zostało opisane przez kogoś, a jak brzmi jego legalna definicja.

Przejrzałem któryś raz z rzędu art 4 - Definicje. I chyba przeoczyłem.
Nadal nawołujesz do trzymania się pojęć słownikowych?
Po czwarte. Dyskusja z własną interpretacją ("audyt bezpieczeństwa danych osobowych") nie wiele wnosi do meritum.

To jest przykład do apelu. I będzie pewnie więcej, żeby obrazować.
Na innym forum proszono o przedstawienie całego procesu zarządzania ryzykiem. Bez efektu.
To żeby doprecyzować. Co rozumiesz przez analizę ryzyka? Bo jak widać rozumiemy co innego. Chętnie odpowiem, jeśli sprecyzujesz o co pytasz.
Takie pytania rozwadniają dyskusję.
Przykład: Na pytanie: Kto ma iść po mleko? Dopytywanie co, kto rozumie pod pojęciem mleko jest rozwadnianiem dyskusji.
To udzielający odpowiedzi (jako mający wiedzę) winien określić pewne warunki: Jeśli .."a".. to ....., a jeśli .."b".. to ....
lub
Rozumiejąc "a" jako .... to ....
w ten sposób następuje dzielenie się wiedzą.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Radosław Z.:

To znaczy, że dla udokumentowania przestrzegania prawa, podmiot, nie musi stosować rozwiązań komercyjnych.

A ktoś napisał, że trzeba? Bo jeśli o mnie chodzi, to piszę tylko tyle, że te standardy to są często przewodniki i poradniki, a nawet podręczniki. Czyli coś, czego bardzo często brakuje w przepisach prawa, bo... przepis nie zawiera takiej treści. Ale same w sobie stanowią łatwe potwierdzenie uzyskania zgodności z przepisami prawa i dlatego w wielu przepisach są ujęte. A w niektórych mają nawet niezły wpływ - np przetargi w służbie zdrowia i ISO 27001.

Celem regulacji natomiast jest to co już opisałem. Ochrona podstawowych praw człowieka - ochrony danych osobowych i prywatności.
To przekonanie buduje we mnie np ostatnie ogłoszenie GIODO o naborze do zespołu inspekcji. O tu:
http://www.giodo.gov.pl/430/id_art/10038/j/pl
Certyfikacja, jako fakultatywna, winna być poddawana analizie. Dlatego od kandydatów oczekuje się dodatkowych atutów - Dodatkowych czyli takich, które nie mogą wprost decydować o zatrudnieniu. To tylko potwierdza wcześniejszą tezę.

Jeszcze raz - którą? Bo ja nie piszę i nie pisałem, że wdrożenie standardu jest OBOWIĄZKOWE. Tylko, że jest to ogromna wiedza ekspertów - praktyków (choć czasem teoretycy przejmują dowodzenie), zaszyta w dość sensownych opracowaniach.
Po trzecie. Skoro ktoś nawołuje adwersarzy do trzymania się pojęć słownikowych, to warto by było by wskazał o jakie pojęcie chodzi. Jak zostało opisane przez kogoś, a jak brzmi jego legalna definicja.

Przejrzałem któryś raz z rzędu art 4 - Definicje. I chyba przeoczyłem.
Nadal nawołujesz do trzymania się pojęć słownikowych?

Szukam definicji... Bo nadal nie rozumiem, o co pytasz.
Po czwarte. Dyskusja z własną interpretacją ("audyt bezpieczeństwa danych osobowych") nie wiele wnosi do meritum.

To jest przykład do apelu. I będzie pewnie więcej, żeby obrazować.
Na innym forum proszono o przedstawienie całego procesu zarządzania ryzykiem. Bez efektu.

Kogo i gdzie.
To żeby doprecyzować. Co rozumiesz przez analizę ryzyka? Bo jak widać rozumiemy co innego. Chętnie odpowiem, jeśli sprecyzujesz o co pytasz.
Takie pytania rozwadniają dyskusję.
Przykład: Na pytanie: Kto ma iść po mleko? Dopytywanie co, kto rozumie pod pojęciem mleko jest rozwadnianiem dyskusji.
To udzielający odpowiedzi (jako mający wiedzę) winien określić pewne warunki: Jeśli .."a".. to ....., a jeśli .."b".. to ....
lub
Rozumiejąc "a" jako .... to ....
w ten sposób następuje dzielenie się wiedzą.

Świetnie. Tylko początek jest taki, że trzeba wykazać chęci. A nie się zamykać. Więc jeszcze raz napiszę - czym innym jest analiza ryzyka, czym innym szacowanie i ocena. Ale żeby było ciekawiej, to klasycznego zarządzania ryzykiem wcale nie ma duzo w RODO/GDPR, mimo, że słowo to się cały czas przewija.

Ale dlatego właśnie napisałem jak rozumiem angielskie "high risk". Bo ono nie oznacza tego, co tłumaczy się słownikowo. W przypadku GDPR dość często tam, gdzie przetłumaczono do RODO owo ryzyko wprowadzony został mętlik. Bo nie zawsze oznacza ryzyko - jako ryzyko, a jako prawdopodobieństwo.

Dlatego odpowiedź na moje pytanie jest naprawdę kluczowe. Możesz podać artykuł, w którym jest czynność o którą pytasz. Ale, że mam tydzień rozjazdach, to żeby nie przeciągać, odpowiem pytaniem na pytanie. Inne systemy bezpieczeństwa:
1. BHP. Kto robi ocenę ryzyka zawodowego w zakładzie? Bo to, że stosują wszyscy, to wiadomo (a przynajmniej powinni)
2. Kto robi analizę zagrożeń w bezpieczeństwie fizycznym?
3. Kto robi analizę zagrożeń w ochronie ppoż?

Z reguły ten, co robi potem dokumentację ochroną i kształtuje system, poprzez określenie odpowiedzialności, zadań, czynności, a potem nadzór nad realizacją tego wszystkiego.

EDIT: literówkiTen post został edytowany przez Autora dnia 03.07.17 o godzinie 12:01
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Analiza ryzyka w rodo

Pytanie padło tydzień temu.
Odpowiedzi brak.
Szkoda czasu i zachodu.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Na zrozumienie nigdy nie jest szkoda czasu. A jest kluczem do wielu rzeczy.

Ktoś ma Ci odpowiedzieć na pytanie:
1. bez znajomości organizacji
2. bez znajomości systemów w niej działających, w szczególności obecnego systemu ochrony danych osobowych
3. bez znajomości danych i operacji
4. i wiele innych....

A do tego nadal nie wiadomo o co pytasz. Przynajmniej ja nie wiem. A Ty usilnie nie chcesz uzupełnić pytania, o które czynności konkretnie chodzi. Bo nawet z zadań IODO wynika, że ma mieć mocne powiązanie z ryzykiem. Ale nie wiem, czy to o to, czy o 32 czy może to co się ciągle przewija czy co konkretnie?

A przy okazji - znajdziesz konkretny zapis, że jakiekolwiek działanie nazwane analizą ryzyka, czy szacowaniem i oceną - jest WYMAGANE?

A odpowiedź zwięzła brzmi: to zależy... Od tych czynników wyżej.

PS a co do początku. RODO/GDPR to nie rewolucja, a ewolucja. Jak wiele innych systemów. Uwzględnianie zagrożeń było już wcześniej - art 36. UODO, dziś art 32 RODO/GDPR. Więc powtórzę to co napisałem wcześniej:
Grzegorz K.:
Zaimplementować to co robiono aby uzyskać zgodność z art 36 UODO?

Wiele z działań związanych z ochroną danych osobowych jest realizowane w sposób, który wymaga USPRAWNIENIA i dodania określonych działań, a nie tworzenia nowych rozwiązań. Tak samo analiza zagrożeń dla danych osobowych - dochodzi tylko kilka nowych elementów:
1. Doprecyzowano kolejne operacje i działania, które są nazywane przetwarzaniem danych osobowych. Katalog przykładowych jest dużo szerszy, choć moim zdaniem nadal otwarty.
2. Nazwano naruszenie danych osobowych - wskazując skutki. A więc uproszczono nieco kwestię identyfikacji konkretnych zagrożeń, wskazując wprost podstawowy katalog skutków. I to tworzy całkiem sporą macierz do pracy z zagrożeniami.
3. Dodano dość enigmatyczne prawa i wolności, jako podmioty ochrony, więc trzeba będzie się w Polsce Konstytucją wspierać.
4. Dodano prywatność - więc powstała dodatkowa kategoria do oceny zagrożeń.

Więc jeśli ADO miał u siebie zrobione to sensownie w oparciu o art 36, to obecnie moim zdaniem po prostu powinien to rozwinąć (uzupełnić), a nie wymyślać nowe. A jak nie miał zrobione - to znów pytanie, jak uzyskał zgodność z art 36 UODO.

A pytanie jest tym samym pytaniem, tylko zamiast ABI jest IODO. Choć jest pewna różnica. ABI/IODO wrócił do swojej roli, którą ABI zatracił w momencie nowelizacji UODO.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

No to dalej ciągnąc temat. Odpowiedź na pytanie o formalną ocenę ryzyka:
http://giodo.gov.pl/pl/1520281/9957

Proszę zwrócić uwagę na kwestie oceny - kiedy jest obowiązkowa. Wyjaśnione pokrótce. Nawet na prostym diagramie.

I znów ponowię pytanie. Czy naprawdę działanie nazywane w pełni szacowaniem, analizą i oceną ryzyka, czy choćby tylko analiza ryzyka - są wymagane w RODO? Poza tym przypadkiem, który też jest tylko w sytuacji spełnienia przesłanek.
Link do wypowiedziLink
Jacek Przygoda

Jacek Przygoda ABI

Temat: Analiza ryzyka w rodo

Pytanie w temacie...jak zaimplementować analizę ryzyka wymaganą RODO do istniejącego już w organizacji podejścia do zarządzania ryzykiem?

W skrócie wygląda to tak, że istniejąca procedura koncentruje się na ryzyku z punktu widzenia funkcjonowania organizacji (wpływ niekorzystnych zdarzeń stanowi potencjalne ryzyko jej funkcjonowania).

RODO natomiast akcentuje ryzyko z punktu widzenia właściciela danych tj. naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Teraz jak jedno z drugim "pogodzić". Przyznam, że trochę mam kłopot jak to ugryźć. Będę wdzięczny za pomoc.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Za mało informacji. Kilka pytań:
1. Mówisz o PIA, czy chcesz zrobić analizę zagrożeń? Dla PIA materiał od brytyjskiego GIODO (ICO) https://ico.org.uk/media/for-organisations/documents/15...
2. Aktualną masz na jakieś metodyce czy standardzie, czy zrobiliście ekspercką?
3. Jakie masz oznaczone zdarzenia, wyzwalające ryzyka dla organizacji, które ocierają się o dane, prywatność prawa i wolności?

To tak na początek.
Link do wypowiedziLink
Jacek Przygoda

Jacek Przygoda ABI

Temat: Analiza ryzyka w rodo

Grzegorz K.:
Za mało informacji. Kilka pytań:
1. Mówisz o PIA, czy chcesz zrobić analizę zagrożeń? Dla PIA materiał od brytyjskiego GIODO (ICO) https://ico.org.uk/media/for-organisations/documents/15...
>
Muszę zrobić analizę ryzyka dla organizacji w obszarze, za który odpowiadam czyli za ochronę danych. Natomiast w OSDODO elementem jest ocena ryzyka dla praw i wolności podmiotów danych. Teraz jak to razem "ożenić". Czy trzeba pisać dwie procedury? Zastanawiam się dan tym.
2. Aktualną masz na jakieś metodyce czy standardzie, czy zrobiliście ekspercką?

Procedura analizy ryzyka nie była pisana w żadnej metodyce.
3. Jakie masz oznaczone zdarzenia, wyzwalające ryzyka dla organizacji, które ocierają się o dane, prywatność prawa i wolności?
Ja w swoim obszarze wychodzę od zagrożeń opisanych w art. 36 uodo. Nie wiem jeszcze co zostanie oznaczone przez inne osoby.

Dzięki za zainteresowanie i sugestie :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Jacek P.:
Muszę zrobić analizę ryzyka dla organizacji w obszarze, za który odpowiadam czyli za ochronę danych. Natomiast w OSDODO elementem jest ocena ryzyka dla praw i wolności podmiotów danych. Teraz jak to razem "ożenić". Czy trzeba pisać dwie procedury? Zastanawiam się dan tym.

Zdecydowanie ożenić. To UODO wprowadziło ogromny bałagan w kwitach i wymagało tworzenia dokumentu o określonym tytule. Teraz można wrócić do normalności i integrować bezpieczeństwo.
2. Aktualną masz na jakieś metodyce czy standardzie, czy zrobiliście ekspercką?

Procedura analizy ryzyka nie była pisana w żadnej metodyce.

Nazywam to ekspercka. Dobrze tylko to opiszcie, skąd macie info o zagrożeniach, jak robicie szacowanie i typowanie. Np. jak macie burzę mózgów, to jak dochodzicie do ostatecznych wniosków. Np purpurowy krąg. Prawie burza, ale jak ktoś nie ma pomysłu to mówi pas. Jak w licytowaniu w brydża.

Przypomina to nieco prowadzenie HAZOP, ale HAZOP-a nie proponuję. Trudna i czasochłonna.

Ten opis jest niezbędny. Pamiętam, jak audytowałem departament bezpieczeństwa PKO BP na informacje, ciągłość i jakość, to mówili mi, ze wcześniej czepił się jakiś audytor od ISO 27001, że nie mają ekspertów i takie tam. Potem opisali, ludzi na szkolenia puścili i już było OK.

W tym opisie po prostu zrób swoją klasę. Domyślam się, że posiadacie jakie wzorcowe opisy skutków. Dla ciebie skutkiem jest utrata atrybutów, która powoduje naruszenie praw i wolności.
3. Jakie masz oznaczone zdarzenia, wyzwalające ryzyka dla organizacji, które ocierają się o dane, prywatność prawa i wolności?
Ja w swoim obszarze wychodzę od zagrożeń opisanych w art. 36 uodo. Nie wiem jeszcze co zostanie oznaczone przez inne osoby.

Jak wyżej. Utrata/naruszenie atrybutów bezpieczeństwa, prowadzące do naruszenia praw i wolności. Tu malutki art na temat starego podejścia. Ilustracja z PN-I-TR13335-1:1999.
https://www.linkedin.com/pulse/czas-na-rodo-cz-3-szanuj...

Jak po tym schemacie przejdziesz od zagrożenia i wykorzystania podatności, to może sie nieco rozjaśni
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Analiza ryzyka w rodo

Spróbuj potraktować zarządzanie ryzykiem jako coś ogólnego, a ochronę danych osobowych jako szczegółowego - Lex specialis derogat legi generali .

Czy je pożenisz w jednym akcie wewnętrznym czy osobno, to sprawa wtórna - techniczna. Choć jestem zwolennikiem stosowania brzytwy Ockhama, to w tym przypadku pokusiłbym się o oddzielną dokumentację czy to w formie księgi do już istniejącej, czy jako osobną akt. Za tym drugim przemawia fakt, że IODo ma określone obowiązki (art. 39 rodo) i podległość (art.38.3.). Rodo dokładnie określa co ma zawierać taka analiza (zasoby, zakres). Istotnym jest, że rodo posługuje się własnym zestawem pojęć, który gdzie indziej może być inaczej formułowany. Najważniejsze - analizę ryzyka przeprowadzają osoby na co dzień przetwarzające dane osobowe - nigdy IODo. Z tego względu instrukcja (czy jak to nazywać) winna być napisana językiem prostym, zrozumiałym bez zbędnej nadbudowy. Warto pokusić się o stworzenie własnej- autorskiej.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

To będzie mocno sarkastycznie.

I dla każdej stworzysz jak rozumiem lex specialis. Ochrony innych praw człowieka:
Prawo do życia i zdrowia :
- BHP
- PPOŻ
- ATEX - jeśli jest (atmosfery wybuchowe)
Prawo do nietykalnosci
- Ochrona fizyczna

I potem z takim odrębnym kwitem każdy z liderów każdego obszaru pójdzie do prezesa i każdy będzie mu opowiadał, jak to jego obszar jest najważniejszy. Każdy z tych obszarów wyjaśni i uzasadni szczegółowe wymagania które należny spełnić aby zrealizować prawa człowieka (do życia, zdrowia i wolności). Bo w każdym z nich takie są.

A prezes będzie studiował w analizie ryzyka:
1. Pojęcia z BHP, metodę analizy, przyjęte skale i czynniki
2. Pojęcia z ochrony ppoż (tu też inne zagrożenia miejscowe), metodę analizy, przyjęte skale i czynniki
3. Pojęcia z RODO, metodę analizy przyjęte skale i czynniki...

Żeby wyleczyć z takich zapędów. Tabela w excelu. Dwie pierwsze kolumny poziom ryzyka i druga opis. Np krytyczne, poważne, mało istotne pomijalne. A potem w następnych kolumnach
* BHP - i wpisać na przecięciu kolumny BHP co to oznacza ryzyko na poziomie 3 - krytyczne. Np . ciężki wypadek ze skutkiem śmiertelnym. Na dwa ciężki wypadek lub masowy na 1 near-miss.
* RODO - na 3 naruszenie bezpieczeństwa danych osobowych, ze skutkiem w postaci naruszenia praw i wolności, na 2, to samo, ale z prawdopodobieństwem, na jeden jak wyżej, bez naruszenia lub incydent prowadzący do

Szef dostanie jedną tabelę w której się ogarnie. A do tego dostanie ranking ryzyka w którym będzie miał ich miks, ale ułożony w ważność z całej firmy. A to jak skutkuje wyodrębnianie czegoś, to już widać było przez ostotnie 20 lat w UODO.

Przetwarzanie danych osobowych jest usługowe do wszystkich procesów. Nawet jeśli jest to realizowane masowo, to nadal celem biznesu czy urzędu nie jest przetwarzanie samo w sobie, a proces i cel jaki realizuje. Dla niedowiarków - 5 WHY. (5 x dlaczego). Dojdziecie do pytania, po co przetwarzam dane osobowe. I pojawi się cel biznesu lub zadania organu lub instytucji

Przykładowo sprawa w urzędzie. Są dane osobowe, ale to nie ich przetwarzanie jest celem załatwienia sprawy, a wydanie decyzji, zgody na budowę, rejestracja pojazdu etc.
Tu zagrożenia pojawią się na dobrze opisanym procesie. Na wniosku, na przejściu z biura podawczego do działu, skierowanie do referenta, decyzja i podpis, powrót do miejsca wydania, nadanie listem, etc.

Wracając do pytania. Jacek, wyjdź ze skutków biznesowych. Analizę można prowadzić od źródła. Np zalanie może zniszczyć urządzenia, energetykę, budynek, urządzenia, zniszczyć dane, etc. To podejście stosowane jest tam, gdzie jest jeden risk manager, który może sobie skakać po różnych skutkach.

Podejście specjalisty "obszarowego" zaczyna się od skutku. Ale biznesowo masz połączone ODO nawet w tych przepisach. W opisie podałeś, że masz korporacyjna analize. I dobrze. Poszukaj tych procesów w których naruszenie atrybutów bezpieczeństwa spowoduje, że proces zostanie zakłócony lub przerwany. Tylko dodałbym dostępność (atrybuty są w jeszcze aktualnym rozporządzeniu). I np masz skutek w postaci decyzji GIODO o zaprzestaniu przetwarzania do momentu usunięcia uchybienia. To tak jakby zatrzymać dostawę surowca.

Procesowo, jeśli możesz sobie ułożyć to moja propozycja. Kroki procesu pionowo na kartce. Obok przy każdym kroku procesu tabela z atrybutami. I przy każdym atrybucie opis:
- Czy może zostać naruszony ten atrybut (każdy odrebnie)
- Jaki będzie skutek. (czy naruszenie/utrata atrybutu skutkować może, czy będzie utratą praw i wolności)

Jak wyjdzie, że skutek z tabeli 2 i 3 (ryzyko naruszania praw i wolności lub pewne naruszenie) - to dalej rozwijasz. W sensie z czego może zaistnieć naruszenia konkretnego atrybutu, czyli już szukamy zagrożeń.
Co ważne a często pomijane. Na przejściach w punktach procesów możesz zaimplementować mechanizmy kontrolne, które przerwą proces ze względu na utratę atrybutu. Przykład naruszenia atrybutu
https://www.linkedin.com/pulse/lewe-konto-grzegorz-krze...

To też argument za tym, żeby integrować systemy. Informacje to informacje. Mechanizmy są te same.

Wizualnie można w MS Visio, DIA, ale też i na zwykłym Excelu pojawiły się już szablony do diagramów.

Wpisze się to w podejście biznesowe i ryzyka korporacyjne. Dodatkowo jest to zastosowanie metody mieszanej z ISO 27005, w której w sposób ogólny robisz całość, a szczegółowo te, które wymagają. Pomogą w tym dobre opisy przepływów danych robione jeszcze pod UODO.
Link do wypowiedziLink
Jacek Przygoda

Jacek Przygoda ABI

Temat: Analiza ryzyka w rodo

Cieszę się, że temat odżył:) Przyznam się szczerze, że skłaniam się ku nie mnożeniu bytòw w postaci procedur. Czy się to da zrobić. Jeszcze nie wiem. W każdym razie dziękuję za sugestie. Dam znać jak coś wymyślę i pewnie będę się jeszcze radził w temacie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza ryzyka w rodo

Da się. W czasach jak jeszcze bardziej konsulting robiłem (poziom specjalisty i managera) na ISO 27005 zrobiłem bezpieczeństwo procesowe. Atrybuty wziąłem z parametrów surowców i DTRek.
Na HAZOP zrobiłem bezpieczeństwo informacji i sieci retail.

Każdą metodę można zastosować dowolnie. W tym konkretnym przypadku temat wręcz aż się prosi, bo w końcu dane osobowe będą traktowane w należyty sposób, jak element działania organizacji, odpowiednio ułożony w strukturze zarządzania ryzykiem korporacyjnym.

A nie odrębny mistyczny byt, do którego dostęp mają nieliczni i tylko nieliczni mają dar rozumienia. ;-)
Link do wypowiedziLink
Basia Basia

Basia Basia

Temat: Analiza ryzyka w rodo

W Urzędzie co roku opracowywane są ryzyka w procesach. W tym roku zmieniają się przepisy - wchodzi RODO. RODO narzuca wprowadzenie ryzyk w procesach. Jeżeli w Urzędzie już obowiązują ryzyka w procesach (kontrola zarządcza), to czy wystarczy je zaktualizować tak żeby ująć w nich ryzyka RODO. Czy należy opracować odrębne ryzyka RODO, które nie będą powiązane z obowiązującymi już w Urzędzie ryzykami.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Analiza Ryzyka, SWBS i PBE




Wyślij zaproszenie do
Anuluj