Praktyczne zastosowanie podejścia procesowego przy wdrażaniu lub doskonaleniu systemu

zarządzania danymi osobowymi

W kolejnych podrozdziałach zostaną omówione poszczególne fazy

ustanawiania kontekstu. Aby łatwo ustalić etap opracowania
kontekstu na początku podrozdziałów zostanie przedstawiony
adekwatny fragment modelu procesu. Oczywiście w ramach
ustanawiania kontekstu może pojawić się konieczność
przeprowadzenia innych analiz wynikających choćby ze specyfiki
przyjętej metodyki analizowania ryzyka, np. określenie korelacji praw
i wolności i zagrożeń, opracowanie katalogu referencyjnego środków
technicznych i organizacyjnych czy polityki postępowania z
niepewnością danych statystycznych.

Ustalanie kontekstu należy przeprowadzać zarówno przy wdrażaniu

systemu zarządzania czy przy jego doskonaleniu jak i na etapie
wdrożeń poszczególnych projektów, z tym, że nie zawsze będą
musiały być realizowane jego wszystkie elementy.

ZADANIE 1.1 – OKREŚLENIE KRYTERIÓW BEZPIECZEŃSTWA PROCESÓW

Rysunek 32 Umiejscowienie omawianego podprocesu na modelu procesu ustanawiania

kontekstu. Źródło: Opracowanie własne.

Ważna wskazówka:

Określenie kryteriów bezpieczeństwa procesów

odbywa się poprzez określenie celu
przeprowadzenia analizy i kryteriów ewaluacji
ryzyka. Jest to kluczowy element podejścia
opartego na ryzyku. Większość standardów
związanych z podejściem procesowym wymaga

179 Kopia udostępniona w Scribd.com

Praktyczne zastosowanie podejścia procesowego przy wdrażaniu lub doskonaleniu systemu
zarządzania danymi osobowymi

oceny ryzyka. Czy to będzie ryzyko biznesowe,

czy to będzie ryzyko dotyczące bezpieczeństwa
środowiska pracy czy właśnie ryzyko naruszenia
praw i wolności osób fizycznych – nie ma
znaczenia. Nie ma żadnej możliwości
stwierdzenia czy ryzyko jest akceptowalne, czy
nie jeśli nie będą zdefiniowane kryteria oceny i
nie ma absolutnie żadnej możliwości ustalenia
kryteriów oceny, jeśli nie będzie ustalony jasno i
precyzyjnie cel analizowania ryzyka.

Cel działania powinien być określony zawsze. Jest to warunek do

logicznego i zoptymalizowanego pod kątem oddelegowanych
zasobów działania organizacji. Logika zarządzania procesowego
podpowiada, że każdy proces powinien mieć jasno określone cele
zgodne ze strategią firmy. Powinny zostać one określone w formie
mierzalnej, możliwej do oceny stopnia ich realizacji134. Warto tą
zasadę podejścia procesowego przenieść na inne obszary działania
organizacji, zwłaszcza, że zarządzanie celem było omawiane jako
jeden z punktów styku podejścia procesowego z RODO.

RODO wskazuje cele, które powinny zostać osiągnięte dzięki

wdrożeniu podejścia opartego na ryzyku:

- wykazanie, że czynności przetwarzania są zgodne z RODO oraz

że są skuteczne135,
- w celu zachowania bezpieczeństwa i zapobiegania
przetwarzaniu danych niezgodnemu z RODO136,

134 S. Kliciński Problemy implementacji podejścia procesowego opartego na normie ISO

9001:2004 w Prace naukowe Uniwersytetu Ekonomicznego we Wrocławiu Podejście procesowe
w organizacjach, red. S. Nowosielski, Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu,
Wrocław 2009 r.str. 64.
135 Motyw 74 Preambuły RODO

136 Motyw 83 Preambuły RODO

180 Kopia udostępniona w Scribd.com

Praktyczne zastosowanie podejścia procesowego przy wdrażaniu lub doskonaleniu systemu
zarządzania danymi osobowymi

- określenie konieczności zawiadamiania osoby, której dane

dotyczą naruszenia ochrony danych osobowych137.

W jaki sposób powyższe powinno zostać osiągnięte? Poprzez

jednoznaczne określenie kryteriów, które pozwolą podjąć decyzję w
powyższych kwestiach.

Najważniejszym z kryteriów jest skala ryzyka, z której będzie można

jednoznacznie określić sposób dalszego postępowania.

Tabela 5 Przykładowe skale ryzyka – źródło: P. Siembida w A. Krasuski, P. Siembida „Analiza

ryzyka w ochronie danych osobowych” Wolters Kluwer, Warszawa 2022 r.

Skala
Skala zaprezentowana Skala ze szkolenia
rekomendowana
w ISO 27005 UODO
przez ABW

Małe ryzyko - to
25% 20% 16%
ryzyko do poziomu:

Wysokie ryzyko - to
ryzyko powyżej 75% 60% 40%
poziomu:

Jeśli cel zarządzania ryzykiem jest już zdefiniowany, pozostaje

odpowiedzieć sobie na pytanie, jaki konkretnie parametr pozwoli
nam go osiągnąć? Jaki wynik analizy znajdzie u nas praktyczne
zastosowanie? Jakie informacje pozwolą nam w dalszych krokach
kompetentnie i świadomie podejmować decyzje?

Wydaje się, że parametrem, zarówno wskazywanym przez twórców

RODO jak i przez GIODO (Później PUODO)138, jest określenie czy ryzyko

137Art. 34 ust. 1 RODO

138Pierwotnie Poradnik GIODO dla ABI - przyszłych inspektorów ochrony danych
https://archiwum.giodo.gov.pl/pl/1520282/10294 (dost. 24.05.2021) później materiały Urzędu
Ochrony Danych Osobowych: https://uodo.gov.pl/pl/123/208 (dost. 24.05.2021)

181 Kopia udostępniona w Scribd.com

Praktyczne zastosowanie podejścia procesowego przy wdrażaniu lub doskonaleniu systemu
zarządzania danymi osobowymi

jest „wysokie” lub czy można je zakwalifikować jako „małe”

(„niskie”)139.

Przeprowadzając analizę w celu określenie prawa do zwolnienia z

obowiązku wyznaczania na piśmie swojego przedstawiciela w Unii
należy wziąć pod uwagę, że co prawda treść RODO odnosi się w tym
przypadku jedynie do prawdopodobieństwa wystąpienia ryzyka, to
ogólnie zdanie jest takie, aby przy określaniu brać pod uwagę ryzyko,
a nie jedynie prawdopodobieństwo wystąpienia zagrożenia.

Kryteria oceny ryzyka podobnie jak cele nie muszą się ograniczać
jedynie do wypełnienia zaleceń RODO. W każdej organizacji może
pojawić się jeszcze wiele innych parametrów związanych z celami
innymi niż tylko ochrona danych osobowych.

To zadanie nie wymaga realizacji za każdym razem, gdy

wprowadzamy nową usługę, czy pracujemy w organizacji nad
nowym projektem. Jeśli nie zmieniają się założenia, które mogą
wpłynąć na cele lub kryteria ich osiągnięcia – można pominąć to
zadanie.

ZADANIE 1.2 – ANALIZA PRAWODAWSTWA, NORM, KODEKSÓW

Rysunek 33 Umiejscowienie omawianego podprocesu na modelu procesu ustanawiania

kontekstu. Źródło: Opracowanie własne.

P. Siembida w A. Krasuski, P. Siembida „Analiza ryzyka w ochronie danych osobowych”

139

Wolters Kluwer, Warszawa 2022 r.

182 Kopia udostępniona w Scribd.com