Niniejszy artykuł jest fragmentem mojej najnowszej Administrator bezpieczeństwa informacji / Inspektor ochrony danych. Kompetencje, obowiązki i odpowiedzialność. Poradnik praktyka z wzorami dokumentów, zapraszam do lektury.
Przygotowanie harmonogramu sprawdzeń.
Przed przystąpieniem do sprawdzenia ABI powinien przygotować harmonogram poszczególnych czynności składających się na sprawdzenie. W praktyce chodzi wyznaczenie osób do wywiadów osobowych, określenie przedziału czasowego potrzebnego na przeprowadzenie wizji lokalnej, jak również czasu na analizę dokumentów. Aspekt ten jest szczególnie istotny dla ABI będących pracownikami, gdyż istnieje znaczne ryzyko, że czynności sprawdzające mogą wykraczać poza standardowe godziny pracy. Przygotowanie harmonogramu ma na celu uporządkowanie i zamknięcie w ramach czasowych wszystkich czynności, które mają zostać przeprowadzone.
Rysunek 40 Przykład harmonogramu sprawdzenia procesu – opracowanie autora.Przygotowanie list kontrolnych – wywiad osobowy.
Pobierz przykładową listę kontrolną zgodności z RODO
Przygotowanie narzędzi ABI do prowadzenia wywiadu osobowego jest czynnością, którą się stale doskonali. Pierwotna wersja listy pytań dedykowanych do poszczególnych obszarów organizacji powinna być stale weryfikowana i uzupełniana o kolejne obszary. Aspekt ten wynika z ciągłych zmian wprowadzanych w poszczególnych procesach, często regulowanych aktami prawnymi lub po prostu zmianami faktycznymi.
Przykładowo pytanie kierowane do przedstawiciela działu kadr odnośnie przechowywania w aktach osobowych kopi dokumentów tożsamości, nie wynika wprost z żadnego przepisu prawa, a z wytycznej GIODO. Podobnie pytanie kierowane do działu marketingu o proces pobierania danych osobowych potencjalnych klientów ma na celu ustalenie czy dane te są opatrzone odpowiednią klauzulą zgody, czyli pytanie dotyczy stanu faktycznego. Innymi słowy przygotowanie list pytań czy zagadnień o które ABI powinien się zapytać jest znacznie szersza niż zakres określony w planie sprawdzeń. W trakcie wywiadu osobowego z jedną osobą powinno średnio padać od 30 do 70 pytań kierowanych przez ABI. Tylko przy takim tempie gromadzenia informacji ABI jest w stanie zgromadzić większość informacji o konkretnym procesie. Oczywiście jeżeli przeznaczymy więcej czasu na wywiady osobowe liczba pytań może się zmniejszyć jednak z reguły pracownicy udzielający wywiadu osobowego są zbyt zapracowani by poświęcić więcej czasu dla ABI.
Rysunek 41 Przykładowa lista pytań dopasowana do poszczególnych stanowisk – opracowanie autora.Warto pamiętać o tym, że każde z pytań może prowokować kolejne pytania. Z tego też względu powinniśmy jak najczęściej zadawać pytania tzw. otwarte, czyli nie sugerujące odpowiedzi. W ten sposób zgromadzimy najwięcej informacji. Tworząc listę pytań powinniśmy sugerować się nie tylko wymogami prawa, ale również wytycznymi GIODO, które są opublikowane i posegregowane po sektorach na stronie internetowej GIODO . Dodatkowo warto korzystać ze stron internetowych publikujących informacje o wyciekach danych osobowych oraz lukach w systemach informatycznych . Im więcej zgromadzimy informacji przed samym wywiadem osobowym tym szybciej i dokładniej zbadamy wszystkie procesy w organizacji. Prowadząc wywiady osobowe ABI również uczy się od osób z poszczególnych działów jak w praktyce one funkcjonują. Jest to swoista wartość dodana wywiadów osobowych, gdyż w razie wystąpienia incydentu w konkretnym procesie osoba odpowiedzialna za proces nie będzie musiała tłumaczyć ABI jak wygląda proces, a będzie mogła się skupić na samym incydencie. Wywiady osobowe są również bardzo dobrą okazją dla ABI by zweryfikować poziom świadomości osób przetwarzających dane osobowe w zakresie bezpieczeństwa informacji.
