Wywiad z IOD Beatą Lewandowską-Weiser
Dowiedz się co nowego w branży IOD
Co współcześnie stanowi największe wyzwanie dla Inspektorów Ochrony Danych?
Beata Lewandowska-Weiser: To bardzo trudne pytanie. Problemem, który panuje w zasadzie od samego początku, a w zasadzie od czasów, kiedy obowiązywało jeszcze tzw. ABI, czyli funkcja Administratora Bezpieczeństwa Informacji jest wciąż błędne myślenie klientów. Klienci uważają, że w momencie, kiedy w organizacji pojawi się inspektor, to oni nie muszą już tak naprawdę nic robić w związku z ochroną danych. Więc cały czas mamy do czynienia z pracą i uświadamianiem klientów, że jednak coś robić powinni, jak chociażby dbać o stosowanie obowiązków informacyjnych, poszerzanie wiedzy i zdobywanie tej wiedzy. Wyzwaniem jest ten kontakt z klientem i informowanie go o tym, jaką on ma odpowiedzialność i co do niego należy i podkreślanie tego, że tak naprawdę to on odpowiada za bezpieczeństwo danych w swojej instytucji, a nie ten inspektor. Nie zawsze biorą też pod uwagę to, że to oni odpowiadają za prowadzenie całej polityki związanej z bezpieczeństwem informacji.
Jakie bariery w pracy napotykają Inspektorzy Ochrony Danych?
BL-W: Najczęściej borykamy się z tym, że klient oczekuje, że my po prostu sami im wszystko przygotujemy, że sporządzimy całość dokumentacji. Oczywiście rozporządzenie i ustawy mówią, że inspektorzy są od tego, żeby monitorować, ale jeśli nie została przygotowana odpowiednia dokumentacja, to my zwyczajnie nie mamy czego monitorować. Wtedy pojawia się np. temat szacowania ryzyka i klient zleca, aby przeprowadzić szacowanie ryzyka. Wiadomym jest, że inspektor nie przygotuje szacowania ryzyka bez współpracy z informatykiem, z kierownikami odpowiednich działów, czy osobami odpowiedzialnymi za pewne informacje. Ten temat ciągnie się więc już od roku 2015, kiedy dominowała jeszcze taka mentalność, w myśl której mamy pewną politykę bezpieczeństwa napisaną, odkładamy ją na przysłowiową półkę i ona sobie tam leży. Dopiero w momencie, kiedy przyszło RODO
i w sytuacji, kiedy ma miejsce jakaś kontrola zewnętrzna, czy pojawiają się jakieś problemy, jak wyciek danych czy incydenty, to dopiero wtedy klienci się budzą i widzą, że w zasadzie to wszyscy muszą się pochylić nad tym tematem. Gros podmiotów powoli zdaje sobie sprawę z tego, że muszą się angażować w tę całą procedurę ochrony danych. Niestety, ale wciąż są też takie podmioty, które myślą, że jak zatrudnią inspektora, to ten inspektor wszystko zrobi za nich i oni właściwie nie muszą nic robić.
Jak wygląda codzienna praca IOD? To raczej logistyczna organizacja pewnych procesów czy jednak gaszenie pożarów?
BL-W: Najpierw razem z klientami przygotowujemy wszystko to, co jest wymagane. Gdy mamy już opracowane te wewnętrzne procedury, rejestry, obowiązki informacyjne to później koncentrujemy się na gaszeniu pojawiających się pożarów. Jeżeli ktoś gdzieś nieprawidłowo wykona daną operację, ktoś np. przez pomyłkę wrzuci na stronę internetową dane, które nie powinny się tam znaleźć, to wtedy próbujemy coś w tej sytuacji zrobić. Aby jednak uniknąć takich sytuacji, stosuje się naprawdę długi proces przygotowywania klientów, nauczenia ich pewnych schematów i zachowań, pokazania, co powinno się robić, a czego unikać. Ważne jest też to, o czym klienci powinni informować: często jest tak, że nawet w sytuacji, w której jakiś pożar się pojawi, to klient nie jest świadomy tego, że powinien o tym powiadomić inspektora. Dlatego należy zacząć od przygotowania klienta.
Czy praca IOD jest stresująca?
BL-W: Czasami tak! Generalnie to IOD ma oczywiście pewien zakres odpowiedzialności, ale główna odpowiedzialność spoczywa jednak na administratorach danych. Jednak w przypadku, gdy podchodzi się do tej pracy ambitnie i sumiennie, to w momencie kiedy wybuchnie jakiś pożar, to trzeba na niego w odpowiedni sposób zareagować. Każdy z inspektorów chciałby, żeby takich pożarów w jego instytucjach, w podmiotach, za które odpowiada, nie było, ale jeśli dzieje się coś niepokojącego, to ten stres jednak jest.
Jakie tendencje panują obecnie na rynku jeśli chodzi o zawód IOD?
BL-W: To, co w tej chwili obserwuję na rynku, to są sytuacje, w których inspektorzy są bardzo często zmieniani. Podmioty zmieniają IOD, bo za wiodące przyjmują kryterium ceny. Szukają kogoś, kto będzie miał korzystniejszą ofertę cenową. Wtedy inspektorów zmienia się co roku, czy co dwa lata, co nie jest dobrym posunięciem. System zarządzania bezpieczeństwem informacji to jest system, który się buduje, a żeby zbudować go w myśl normy ISO27001, to musimy te działania zapoczątkować, a później modernizować, ulepszać, poprawiać itd. Jest to więc proces, który nieustająco trwa. W przypadku, gdy przedsiębiorstwo współpracuje z jednym inspektorem przez kilka lat, to on ten proces konsekwentnie przez te lata prowadzi i jest
w stanie pewne rzeczy ulepszyć czy naprawić. W sytuacji, gdy podmioty zmieniają tych inspektorów co roku, to każdy nowy wprowadza swoją dokumentację, czasami bardzo okrojoną, przez co nie ma miejsca na proces udoskonalania systemu zabezpieczeń. Powoduje to brak spójności; nie wiemy też, czy zasady wprowadzone przez nowego IOD są lepsze. Proces, który obecnie ma miejsce na rynku, nie jest dobry, ale panuje tendencja, że wszędzie szukamy tańszych rozwiązań i niestety dotyczy to też IOD.
Gdyby miała Pani polecić RODOprotektora osobom, które poszukują systemów tego typu to na jakie zalety rozwiązania by Pani wskazała?
BL-W: To, co w dzisiejszych czasach jest naprawdę kluczowe, to jest analiza i szacowanie ryzyka, Stanowi to ogromny plus, działający na korzyść tej aplikacji. Dalej: rozbudowany i dokładny rejestr czynności, który można stworzyć. Klienci z pewnością w różny sposób korzystają
z RODOprotektora, niemniej jednak gdy ja tworzę rejestr czynności, to robię to bardzo dokładnie i skrupulatnie, co oznacza, że może być tak, że mamy jedną czynność przetwarzania, która zawiera wiele zbiorów danych. Przykładowo: akta pracownika – akta osobowe mają kilka tzw. kieszonek. Rozporządzenie dokładnie wskazuje, co w jakich kieszonkach powinno się znajdować, więc rozpisane przeze mnie rejestry czynności są naprawdę dokładne jeśli chodzi o zakres dokumentów i zbiorów danych. Do tego możemy oczywiście dołożyć oprogramowania, czyli narzędzia, które wykorzystujemy do przetwarzania danych. Tak więc rejestr czynności w RODOprotektor jest pod tym względem po prostu rewelacyjny, bo później możemy to wszystko sobie dokładnie opisać.
Na co jeszcze należy zwrócić uwagę przy zapewnianiu ochrony danych w organizacji?
BL-W: Gdy mamy już zabezpieczone kwestie związane z analizą i szacowaniem ryzyka, a także zadbaliśmy o poprawne przygotowanie rejestru czynności, to właściwie później już niewiele nam potrzeba. Mając dobrze zrobiony rejestr czynności, możemy utworzyć sobie obowiązki informacyjne. Dla każdej czynności przetwarzania możemy sobie poprowadzić szacowanie ryzyka. Przykładowo: dostajemy jakieś dotacje unijne i dla tej czynności sprawnie wykonujemy szacowanie ryzyka, a to wszystko z wykorzystaniem RODOprotektora. Ponadto możemy bardzo szybko nadać uprawnienia pracownikom. Wprawdzie rozporządzenie nie mówi o tym, że mamy prowadzić rejestr nadanych upoważnień, ale często instytucje kontrolujące chcą zobaczyć takie rejestry, które możemy w łatwy sposób wygenerować z RODOprotektora. Oznacza to, że nie trzeba prowadzić żadnych papierowych, dodatkowych rejestrów. Kolejną kwestią są rejestry zgód, które są niezwykle intensywnie wykorzystywane przez szkoły czy przedszkola, np. dla prowadzenia ewidencji zgód na wykorzystywanie wizerunku. Do tego rejestry umów powierzania. Jeżeli faktycznie bardzo często zdarza się nam, że powierzamy dane innym podmiotom w ramach realizacji pewnych zadań, to wszystko to możemy sobie umieścić w jednym systemie. Mamy wtedy wszystko pod ręką.
Jakie jeszcze funkcje systemu RODOprotektor decydują o jego przewadze nad konkurencyjnymi rozwiązaniami?
BL-W: Oczywiście należy wskazać też na repozytorium, które dla mnie osobiście jest ogromną bazą, w której mogę umieścić różne wzory dokumentów. Mogę tam umieścić pewne przykładowe dokumenty, bo każdy z moich klientów ma dostęp do oprogramowania. Klienci często zwracają się do mnie z prośbą o wzory dokumentów, np. wzór umowy powierzenia. Wszystkie te dokumenty można umieścić w repozytorium, by klienci mogli z nich swobodnie korzystać. Ja umieszczam tam również różne dodatkowe informacje, jak biuletyny Urzędu Ochrony Danych Osobowych, przez co klienci mają rozbudowaną bazę danych zebranych w jednym miejscu. Jest to także ułatwienie nawet w przypadku, gdy jestem w trasie i nie mam dostępu do komputera. Mówię wtedy klientowi, aby zalogował się do RODOprotektora, a w zakładce „Repozytorium” znajdzie wszystkie potrzebne informacje. Dla mnie jest to znakomite rozwiązanie.
W tej chwili RODOprotektor jest systemem w pełni kompatybilnym i dobrze rozwiniętym. Czy jako użytkownik odbiera Pani to rozwiązanie w ten sam sposób?
BL-W: Dokładnie tak. To tak, jak grafik tworzący coś w swoich programach graficznych, tak tutaj z punktu widzenia IOD to ja mogę sobie dowolnie konfigurować całą tę dokumentację. To dla mnie duży atut, właśnie tego jako inspektor szukam.
Dane kontaktowe IOD Beaty Lewandowskiej-Weiser
OD – Audyt, Consulting, Outsourcing
Ul. Złotowska 4, 64-965 Lędyczek
Tel. 692432847
NIP 7641639047
www.iodopila.pl
biuro@iodopila.pl