Zadbaj o silne hasło!

Urząd Ochrony Danych Osobowych udostępnił nagranie wideo z poradami dotyczącymi silnego hasła, by uniknąć kradzieży tożsamości.

W poradniku możemy dowiedzieć się m.in.:

  • jakich informacji nie powinniśmy używać do budowy haseł;
  • jak budować hasło, które jest trudne do złamania;
  • w jaki sposób przechowywać hasła.

Dobre praktyki wskazane w filmie:

  • Nie używaj w haśle danych o Tobie, ponieważ można w łatwy sposób je pozyskać;
  • Nie używaj też rozpoznawalnych słów, które mogą być złamane przez programy komputerowe odwołujące się do słowników;
  • Stosuj hasła łatwe do zapamiętania, a jednocześnie silne i trudne do złamania; buduj je odwołując się do np. ulubionego cytatu, tytułu piosenki;
  • Używaj cyfr, znaków specjalnych, małych i dużych liter;
  • Stosuj uwierzytelniania dwuetapowe np. hasło + kod z wiadomości sms – coraz więcej kont użytkownika daje taką możliwość;
  • Zapamiętaj hasło, a jeżeli musisz je gdzieś zapisać to zadbaj o bezpieczeństwo i użyj np. programów do przechowywania haseł;
  • Nigdy nikomu nie udostępniaj swojego hasła;
  • Nie stosuj tych samych haseł do różnych kont;
  • Ostrożnie korzystaj ze sprzętu dostępnego publicznie lub należącego do osób trzecich i pamiętaj o wylogowaniu.

Ja dodałabym do tego jeszcze:

  • Gdy zmieniasz hasło nie ograniczaj się  do zmiany kilku znaków, lecz zmień całe hasło;
  • Jeżeli jest taka możliwość korzystaj z czytników linii papilarnych czy innych nowoczesnych technologii do zabezpieczania dostępu.

W poradniku tylko wspomniano o programach do przechowywania haseł. Chciałabym zachęcić Was do korzystania z takich programów, ponieważ nie tylko przechowują, ale także pomagają nam zarządzać naszymi kontami.

Korzystając z menedżera haseł możesz:

  • sporządzić wykaz wszystkich kont, do których się logujesz, a zatem panujesz nad tym gdzie udostępniłeś swoje dane;
  • wygenerować automatycznie i przechowywać długie, trudne do złamania hasło, którego nie musisz zapamiętywać – jedyne hasło do zapamiętania to hasło do menedżera;
  • szybko  przejść do konta użytkownika zapisując w menedżerze lokalizację konta – jednym kliknięciem przechodzisz do strony logowania, drugim automatycznie uruchomisz login i hasło i uzyskasz dostęp do zasobów…

Ważne jest, by wybrać odpowiedni menedżer haseł. Przeglądarki internetowe mają zintegrowane menedżery haseł. Logując się na wybraną stronę, przeglądarka pyta nas czy zapisać login i hasło. Należy podchodzić ostrożnie do takiego wbudowanego menedżera haseł, ponieważ większość przeglądarek przechowuje hasła na dysku komputera, w katalogu, który nie jest zaszyfrowany. Można zatem bez trudu odszukać nasze hasła.
Do menedżera logujemy się za pomocą hasła głównego. Haker może zdobyć nasze hasło, jeśli zainfekuje komputer oprogramowaniem, które pozwala dowiedzieć się, jakie znaki wpisujemy na klawiaturze. Dlatego warto zastosować dwuetapowe uwierzytelnianie tj. hasła głównego i hasła dodatkowego wysłanego np. sms na telefon. 


Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit b RODO w usługach społeczeństwa informacyjnego

Europejska Rada Ochrony Danych Osobowych wydała Wytyczne 2/2019 dotyczące przetwarzania danych osobowych zgodnie z art. 6 ust. 1 lit. b RODO w kontekście świadczenia usług internetowych osobom, których dane dotyczą.

Niewiele osób w UE ma poczucie, że w pełni kontroluje swoje dane w Internecie. Komisja Europejska przedstawiła 13 czerwca 2019 r. wyniki specjalnego badania Eurobarometru pod nazwą „Special Eurobarometer487a –  The General Data Protection Regulation”, które dotyczyło ochrony danych. Badanie przeprowadzono w 28 krajach UE. Wynika z nich, że ok. 14% obywateli UE jest przekonanych, że posiada pełną kontrolę nad swoimi danymi w Internecie, a 51% , że częściowo może kontrolować swoje dane. Według badania 30% osób uważa, że nie ma żadnej kontroli nad danymi, jakie przekazują online.

Rozpowszechnianie mobilnego Internetu i powszechna dostępność urządzeń podłączonych do Internetu umożliwiły rozwój usług online w szczególności w takich dziedzinach, jak media społecznościowe, handel elektroniczny, wyszukiwanie w Internecie, komunikacja. Niektóre z usług są świadczone bez opłat, ale zamiast tego finansowane ze sprzedaży internetowych usług reklamowych umożliwiających dotarcie do osób, których dane dotyczą. Śledzenie zachowań użytkowników jest często przeprowadzane w sposób, którego użytkownik nie jest świadomy.

Wytyczne ERODO dotyczą zastosowania art. 6 ust. 1 lit. b) do przetwarzania danych osobowych w kontekście umów o usługi online, niezależnie od sposobu finansowania usług.

Link do Wytycznych

Dane osobowe na fakturze a RODO

RODO wciągnęło mnie na dobre i tak intensywnie, że zaniedbałam prowadzenie bloga… no cóż czasami tak się zdarza. Obiecuję poprawę i dziękuję tym, którzy zmobilizowali mnie bym powróciła do zarzuconych tematów.

Dziś odpowiemy sobie na pytanie, czy wszystkie dane osobowe zawarte na fakturze podlegają przepisom ochrony danych osobowych?

Jakie dane powinna zawierać faktura zostało określone w art. 106e ust. 1 ustawy o podatku VAT. Mamy tam wskazane m.in. imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy, numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku, a więc dane identyfikujące osoby, które są stronami transakcji. Mogą to być osoby fizyczne, spółki cywilne, osoby prawne lub tzw. ułomne osoby prawne, jeżeli mamy do czynienia z jednostkami nieposiadającymi osobowości prawnej, którym przyznaje się zdolność prawną, czyli zdolność do bycia podmiotem praw i obowiązków. Do ułomnych osób prawnych zalicza się przede wszystkim wszystkie handlowe spółki osobowe, tj. spółkę jawną, spółkę partnerską, spółkę komandytową i spółkę komandytowo-akcyjną. Przykładami innych podmiotów będą wspólnoty mieszkaniowe, czy stowarzyszenia.

Tutaj mamy sytuację dość prostą z punktu widzenia RODO. Jeżeli podatnikiem lub nabywcą jest osoba fizyczna prowadząca działalność, spółka cywilna osób fizycznych lub nabywcą jest osobowa fizyczna to mamy do czynienia z przetwarzaniem danych osobowych osób fizycznych, które podlega przepisom RODO.

Nie podlegają RODO dane osób prawnych lub posiadających osobowość prawną, będą to zatem dane na fakturze, gdzie podatnikiem i nabywcą towarów są osoby prawne i ułomne osoby prawne (wszystkie spółki prawa handlowego).

Może jeszcze, krótkie wyjaśnienie dlaczego dane osobowe spółki cywilnej osób fizycznych podlegają przepisom RODO. Spółka cywilna jest bardzo specyficznym rodzajem prowadzenia działalności gospodarczej. Spółka cywilna nie posiada osobowości prawnej ani zdolności prawnej. Jest to jedynie umowa wspólników (art. 860 Kodeksu cywilnego), zatem administratorami danych są wspólnicy tej spółki. Jeżeli wspólnikami są osoby fizyczne, to mają tutaj zastosowanie przepisy RODO.

Czy na fakturze znajdują się również inne dane niż dane wynikające z art. 106e ust. 1 ustawy o podatku VAT?

Tak może się zdarzyć i chodzi tu o dane osoby upoważnionej do wystawienia faktury. Przepis określony przez art. 106e ustawy o VAT, który wskazuje na obowiązkowe elementy faktury, nie zawiera wymogu podpisania faktury przez podatnika, który ją wystawił. Wyjątkiem jest faktura VAT RR (art. 116 ust. 2 pkt 13 ustawy o VAT), która wymaga czytelnego podpisu osoby uprawnionej do jej wystawienia lub podania imienia i nazwiska tej osoby wraz z podpisem. Prawo do wystawiania faktur ma podatnik, ale w imieniu podatnika faktury może wystawiać upoważniona przez podatnika osoba. Wskazanie danych osoby wystawiającej fakturę stanowi duże ułatwienie w identyfikacji osób zaangażowanych w proces sprzedaży i fakturowania, szczególnie w dużych firmach i stanowi pewne zabezpieczenie w przypadku konieczności ustalenia osoby odpowiedzialnej za nieprawidłowości, czy też nadużycia związane z wystawianiem faktur.

Tutaj się zaczyna się dylemat. Na pewno imię i nazwisko to dane osobowe, ale by odpowiedzieć na pytanie, czy dane te podlegają ochronie, należy rozważyć kontekst ich przetwarzania. Wiemy już, że nie podlegają ochronie RODO dane osób reprezentujących osoby prawne, w tym ułomne osoby prawne (np. członków zarządu, wspólników spółek), które są traktowane na równi z danymi osób prawnych. Osoba upoważniona do wystawienia faktury działa w imieniu podatnika, w rozważanym przypadku osoby prawnej. Można zatem przyjąć, że jej dane należy traktować podobnie jak dane osób reprezentujących osobę prawną. Zatem dane te nie będą podlegały ochronie na mocy przepisów RODO.

Można jeszcze spojrzeć na to zagadnienie z punktu widzenia zakresu danych osobowych tj.: informacji jakie niesie za sobą umieszczenie danych osoby wystawiającej fakturę – jest to tylko potwierdzenie czynność, która została wykonana, natomiast z informacje o transakcji zawarte na fakturze nie dotyczą takiej osoby. Istotą przetwarzania nie jest tutaj przetwarzanie danych osoby wystawiającej fakturę i dane te nie mają związku z celem przetwarzania.

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

Obowiązek informacyjny RODO – jak go realizować?

Dziś postanowiłam uporządkować temat obowiązku informacyjnego wynikającego z RODO, tak żeby nic nie umknęło. Temat wydaje się prosty, ale  w niektórych momentach jest kontrowersyjny, warto zatem nim się zająć.

KIEDY NALEŻY PRZEKAZAĆ INFORMACJĘ I KOMU?

Administrator ma obowiązek informować osobę o przetwarzaniu jej danych w następujących sytuacjach:

  • podczas pozyskiwania danych bezpośrednio od tej osoby (art. 13 RODO);
  • zbierając dane o osobie z innych źródeł niż ta osoba (art. 14 RODO);
  • zmieniając cel przetwarzania danych lub dodając nowy cel przetwarzania;
  • na żądanie osoby, których dane są przetwarzane.

Zastanówmy się zatem jakich kategorii osób pozyskujemy dane przy prowadzeniu działalności gospodarczej. Na pewno będą to:

  • kandydaci do pracy, współpracy  – w procesie rekrutacyjnym;
  • pracownicy (szeroko rozumiani tzn.  gdzie będzie obowiązywała umowa o pracę, umowa cywilno-prawna) oraz współpracowników (umowa B2B z osobą fizyczną prowadzącą działalność gospodarczą);
  • praktykanci, stażyści;
  • potencjalni klienci i klienci będący osobami fizycznymi, w tym również prowadzący działalność gospodarczą;
  • kontrahenci będący osobami fizycznymi prowadzący działalność gospodarczą;
  • użytkownicy aplikacji mobilnych;
  • osoby komentujące artykuły i wpisy w mediach społecznościowych;
  • osoby korzystające w newslettera;
  • uczestnicy organizowanych przez nas konferencji itp… itd….

Możemy wciąż uzupełniać tę listę i zastanawiać się czy i jak spełniać obowiązek informacyjny. Dziś bardzo ogólnie rozwiniemy temat i w kolejnych wpisach postaramy się znaleźć złote środki ;). Mam nadzieję, że mi w tym pomożecie…

Jak widzimy, w przypadku niektórych tych kategorii będziemy pozyskiwać dane bezpośrednio od tych osób, więc będzie interesował nas obowiązek wynikający z art. 13 RODO. W innych przypadkach te dane będą udostępniane nam przez inne podmioty np. pracodawców osób. Inne przypadki związane z zakupem baz danych, czy też poleceniami zadowolonych klientów pozostawmy sobie na później.

CO POWINNO ZNALEŹĆ SIĘ W TAKIEJ INFORMACJI?

Tutaj powinniśmy przeanalizować art. 13 i 14 RODO. Mamy cały katalog informacji dla osoby, której dane dotyczą, a mianowicie:

  1. tożsamość i dane osobowe administratora, a jeżeli dane osobowe będą współadministrowane przez dodatkowe podmioty, w informacji należy podać również dane współadministratorów;
  2. dane kontaktowe inspektora ochrony danych, przy czym dane te nie muszą obejmować tożsamości Inspektora; Administrator podaje preferowany sposób komunikacji, może to być przykładowo: telefon, e-mail, formularz na stronie internetowej; Jeżeli podmiot nie wyznaczył IOD, to możne wskazać osobę do kontaktu np.koordynatora w zakresie ochrony danych osobowych;
  3. cele przetwarzania danych oraz podstawy przetwarzania dla każdego celu:
    • jeżeli podstawą przetwarzania jest prawo (art. 6 ust.1 lit. c oraz e, art. 9 ust.2 lit. b, g-j RODO), należy podać konkretny przepis;
    • w przypadku podania podstawy prawnej odnoszącej się do prawnie uzasadnionych interesów realizowanych przez administratora lub osoby trzecie, należy wskazać jakie to są interesy; i tak np.:
      • dla monitoringu wizyjnego celami przetwarzania mogą być: zapewnienie bezpieczeństwa pracowników, ochrona mienia, kontrola produkcji, zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę;
      • dla monitoringu poczty elektronicznej, ruchu sieciowego, kopiowania, drukowania danych celami przetwarzania mogą być: kontrola czasu pracy pracowników, monitorowania właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ujawnienie naruszenia tajemnicy informacji, wykrycie działań mających negatywny wpływ na wizerunek i reputację organizacji itp.;
  4. informacje o odbiorcach danych osobowych lub kategoriach odbiorców, przy czym jako odbiorcę danych należy traktować również podmiot przetwarzający. Tutaj warto przystanąć. Definicja odbiorcy danych jest znacznie szersza niż w poprzednich przepisach i obejmuje również podmioty przetwarzające. Przykładowymi odbiorcami danych mogą być:
    • ZUS, urzędy skarbowe, banki,
    • podmioty w związku z wykonywaniem obowiązków pracowniczych np.: zewnętrzni przedstawiciele, usługodawcy, dostawcy, partnerzy, dystrybutorzy, podwykonawcy;
    • podmioty trzecie oferujące dodatkowe świadczenia dla pracowników takie jak grupowe ubezpieczenia oraz podmioty uczestniczące w organizacji podróży służbowych;
    • wykonawcy usług pocztowych i operacyjnych;
    • biegli rewidenci oraz audytorzy zewnętrzni;
    • podmioty świadczące usługi na rzecz administratora, w szczególności usługi informatyczne, marketingowe i telekomunikacyjne, księgowe, windykacyjne, faktoringowe, wydruku faktur, archiwizacji i niszczenia dokumentów, którym administrator powierza do przetwarzania dane osobowe;
    • podmioty współpracujące w zakresie ochrony ubezpieczeniowej;
    • podmioty lub organy uprawnione na podstawie przepisów prawa (w tym sądy, prokuratorzy, komornicy, organy regulacyjne i nadzorcze);
  5. informacje o przekazywaniu danych do krajów trzecich, jeżeli dotyczy; jeżeli dane nie są przekazywane warto zamieścić taką informację;
  6. okres przechowywania danych lub kryteria jego wyznaczenia;
  7. informacje o prawach osoby, której dane dotyczą, tj. o prawie do:
    • dostępu do danych;
    • sprostowania danych;
    • usunięcia danych – warto wskazać, że skorzystać z tego prawa można jeżeli osoba, której dane dotyczą uważa, że nie ma podstaw do ich przetwarzania;
    • ograniczenia przetwarzania – warto wskazać, że można z prawa skorzystać, gdy podmiot danych uważa, że dane są nieprawidłowe lub nie ma podstaw do ich przetwarzania lub podmiot danych nie chce usunąć danych w związku z dochodzeniem lub obroną roszczeń, lub na czas wniesionego sprzeciwu względem przetwarzania danych; występując z tym żądaniem przetwarzanie zostanie ograniczone wyłącznie do przechowywania lub uzgodnionych z osobą działań;
    • sprzeciwu – warto wskazać, że z prawa tego można skorzystać w przypadku sprzeciwu wobec przetwarzania danych w celu prowadzenia marketingu bezpośredniego, bądź z uwagi na szczególną sytuację;
    • przenoszenia danych – warto uwzględnić, że prawo to nie ma charakteru generalnego, więc podmiot danych może z niego skorzystać, gdy do przetwarzania dochodzi na podstawie zgody lub umowy, a dodatkowo przetwarzanie musi odbywać się w sposób zautomatyzowany; można również poinformować, że prawo dotyczy żądania wydania danych w ustrukturyzowanym, powszechnie używanym formacie, bądź przesłania ich bezpośrednio innemu administratorowi;
    • skargi do organu nadzorczego, w przypadku zastrzeżeń co do zgodności z prawem przetwarzania;
    • cofnięcia zgody, jeżeli przetwarzanie oparto o zgodę;
    • UWAGA: Nie w każdym procesie przetwarzania osoba będzie dysponowała całym katalogiem praw, dlatego należy zwrócić uwagę na charakter procesu przetwarzania w naszej organizacji i wskazać tylko te, które rzeczywiście w danym przypadku przysługują podmiotowi praw. Przykładowo nie będziemy zatem informować o prawie do przenoszenia danych, jeżeli są one przetwarzane wyłącznie w formie papierowej, albo o prawie osunięcia danych pracownika, gdy jesteśmy zobligowani przepisami praca gromadzić i przechowywać akta pracownicze;
  8. informacje o wymogu lub dobrowolności podania danych oraz jakie są konsekwencje niepodania danych. Tutaj powinniśmy podać informację o tym, czy podanie danych jest wymogiem ustawowym, a może wymogiem związanym z zawarciem umowy lub też całkowicie dobrowolne;
  9. gdy administrator opiera swoje decyzje na zautomatyzowanym podejmowaniu decyzji lub na profilowaniu i decyzje te wywierają skutki prawne lub podobne na osobę, której dane dotyczą, należy podać:
    • informacje o rodzajach zautomatyzowanego przetwarzania danych i podejmowanych decyzjach;
    • istotne informacje o zasadach podejmowania zautomatyzowanych decyzji;
    • informacje o konsekwencjach dla osoby, której dotyczą;
  10. gdy obowiązek informacyjny jest realizowany przez współadministatorów należy dodatkowo podać informacje odnośnie wspólnych uzgodnień pomiędzy współadministratorami;
  11. w przypadku danych pozyskanych z innych źródeł niż osoba, której dane dotyczą oprócz informacji, o których mowa powyżej administrator dodatkowo informuję osobę o:
    • kategoriach danych, które pozyskał – zaleca się kategoryzować dane przetwarzane przez administratora np.: proste dane identyfikacyjne, dane finansowe, dane o stanie zdrowia, dane osobiste, dane biometryczne, dane dotyczące umów i transakcji, dane dotyczące  historii zatrudnienia, wykształcenia itp.
    • źródle danych, w tym źródłach publicznych, jeżeli z nich korzystał. Dane osobowe nie posłużą do podejmowania zautomatyzowanej decyzji, w tym profilowania czyli zautomatyzowanego przetwarzania danych;
  12. jeżeli informacja jest związana ze zmianą celu lub nowym celem przetwarzania, administrator podaje informacje spośród ww. katalogu, których osoba jeszcze nie posiada;
  13. ponadto motyw 60 RODO nakazuje administratorowi podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

CZY ZAWSZE MUSIMY SPEŁNIĆ OBOWIĄZEK INFORMACYJNY?

Otóż nie! Obowiązek informacyjny nie musi być realizowany, jeżeli:

  • osoba, której dane dotyczą dysponuje już tymi informacjami,
  • poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym.
  • podanie informacji uniemożliwiłoby osiągnięcie celów przetwarzania lub poważnie je utrudniło. Przykładem takich sytuacji może być gromadzenie danych z innych źródeł w związku z obowiązkami prawnymi, gdzie przedstawienie podmiotowi informacji o procesach przetwarzania jego danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu);
  • przepisy szczegółowo określają warunki pozyskania lub ujawnienia informacji,
  • dane są objęte tajemnica ustawową lub zawodową przewidzianą prawem krajowym lub unijnym.

KIEDY I W JAKI SPOSÓB POWINNYŚMY UDZIELIĆ INFORMACJI?

Może zanim przejdziemy do odpowiedzi na to pytanie, zadamy sobie pytanie „jak”. Jak można się zorientować mamy wiele informacji do przekazania. Jeżeli chcemy zrobić to na telefon, to przekazanie informacji może być dłuższe niż dalsza rozmowa. Zatem jak wyważyć prawo do informacji z szanowaniem czasu osób, którym chcemy przekazać informację?

Grupa Robocza art. 29 uznała za zasadne dokonanie selekcji i przekazanie w pierwszej kolejności najistotniejszych wiadomości, a zetem obowiązek informacyjny może być spełniany warstwowo. Pierwsza warstwa powinna zawierać informacje o tożsamości administratora, celach przetwarzania oraz o istnieniu praw osób, których dane dotyczą. W drugiej warstwie należy podać wszystkie pozostałe informacje, o których mowa w art. 13 oraz 14.

W przypadku pozyskania danych osobowych od osoby, której dane dotyczą, wszelkie wskazane wyżej informacje powinny być tej osobie przekazane podczas pozyskiwania danych, w zależności od kanału ich pozyskania:

  • słownie – jednak z uwagi na objętość informacji, warto przekazać je warstwowo: cześć informacji w rozmowie, pozostała przesłana mailowo (jeżeli przewidziana jest taka forma dalszej komunikacji), odesłanie do strony internetowej, możliwość pobrania informacji w formie papierowej;
  • mailowo – jeżeli inicjacja kontaktu następuje przez:
    • administratora – wraz z wysłaniem pierwszego maila;
    • osobę, której dane dotyczą – w odpowiedzi na pierwszego maila;
  • poprzez stronę internetową – należy odnieść informacje adekwatnie do kategorii osoby, której dane są przetwarzane np. oddzielne informacje dla kandydata do pracy, oddzielne dla klienta, dostawcy czy odwiedzającego stronę internetową itp.
  • informacja dostępna w widocznym miejscu w punkcie obsługi klienta, jeżeli w takim punkcie dane są pozyskiwane.

W przypadku pozyskiwania danych osobowych nie od osoby, której dane dotyczą, informacje powinny być tej osobie przekazane w zależności od sytuacji:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

CO Z OBOWIĄZKIEM INFORMACYJNYM WOBEC OSÓB WYSTĘPUJĄCYCH Z ŻĄDANIEM?

Właściwie nic innego jak przekazanie informacji ze standardowego obowiązku (art. 13 i 14 RODO), no może trochę bardziej szczegółowo. Przykładowo zamiast podawać kategorie odbiorców informacji wskazać konkretnych odbiorców z nazwy.

W przypadku żądania udzielenia informacji, administrator musi upewnić się co do tożsamości osoby występującej z żądaniem i zasadności jej żądania. Zaleca się, aby udzielać informacji wyłącznie osobom, których dane dotyczą lub które mają upoważnienie do otrzymania tego typu informacji (niebudzące wątpliwości). Potwierdzenie tożsamości może nastąpić poprzez zadanie kilku pytań weryfikujących tożsamość na podstawie katalogu danych podanych przez osobę danych np.:

    • przy kontakcie bezpośrednim – weryfikacja na podstawie dowodu tożsamości;
    • przy kontakcie telefonicznym – weryfikacja nr telefonu, ustalonych haseł do kontaktu, ewentualnie pytania dotyczące np. szczegółowych danych identyfikujących np. nr dokumentu tożsamości, nr PESEL, danych dotyczących miejsca urodzenia, szczegółów umowy, szczegółów transakcji itp.;
    • przy kontakcie mailowym lub za pośrednictwem usług pocztowych – weryfikacja adresu do korespondencji, weryfikacja danych osoby, w tym podpisów.

Na dzisiaj to tyle w tym temacie. Przy następnym spotkaniu przeanalizujemy najbardziej kontrowersyjne przypadki np. informowanie pracowników naszego kontrahenta, wyznaczonych przez niego do realizacji umowy. Informować, czy nie informować? Można tak, można tak… jak to w starym dowcipie o maści na szczury… Dowcipu nie przytoczę, ale Wujek Google szybko go odnajdzie. Do zobaczenia wkrótce!

 

 

 

 

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

ZARZĄDZANIE RYZYKIEM – kilka słów wstępu

W poprzednich wpisach poznaliśmy podstawowe pojęcia związane z ryzykiem (tutaj) i bezpieczeństwem informacji (tutaj), w tym danych osobowych. Przyszedł zatem czas, by zmierzyć się z tematem zarządzania ryzykiem. W dzisiejszym wpisie postaram się przedstawić ideę zarządzania ryzykiem oraz w jaki sposób należy podejść do wdrożenia zarządzania ryzykiem w organizacji. Uznałam, że jest to bardzo ważne zagadnienie i powinno być omówione zanim wejdziemy głębiej w proces zarządzania ryzykiem w bezpieczeństwie informacji i zarządzania ochroną danych osobowych opartym na ryzyku. Dlaczego tak sądzę? Dlatego, że niedostosowanie procedur zarządzania ryzykiem do organizacji może nie przynieść zamierzonych efektów i wręcz zniechęcić organizację do tego cudownego narzędzia zarządczego (… może nie podzielacie mojego zachwytu… mam nadzieję, że mnie się uda to zmienić 😉).

Zanim przejdziemy do definicji to kilka słów o zarządzaniu ryzykiem w bezpieczeństwie danych osobowych. RODO nie reguluje kwestii zarządzania ryzykiem, a nawet nie odwołuje się ani razy do tego pojęcia. RODO odwołuje się do ryzyka związanego z przetwarzaniem danych osobowych, jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz najlepszych praktyk pozwalających zminimalizować to ryzyko. De facto odwołuje się do wielu aspektów właśnie zarządzania ryzykiem. Dlatego też GIODO w swoich poradnikach „Jak rozumieć podejście oparte na ryzyku wg RODO?” oraz „Jak stosować podejście oparte na ryzyku?” odnosi się do procesu zarządzania ryzykiem w bezpieczeństwie informacji…. ale o tym później.

Zacznijmy od definicji zarządzania ryzykiem zaczerpniętej z normy ISO 31000, która została powielona również w normie ISO/IEC 27005 dotyczącej zarządzania ryzykiem w bezpieczeństwie informacji.

Zarządzanie ryzykiem to skoordynowane działania dotyczące kierowania i nadzorowania organizacji w odniesieniu do ryzyka

Zrozumiałe? Spróbujmy troszkę oswoić tę definicję.

Z poprzednich definicji wiemy, że ryzyko to wpływ niepewności na cele. W drodze do realizacji naszych celów możemy zidentyfikować zdarzenia, które mogą nam przeszkodzić (zagrożenia) lub pomóc (szanse) w ich osiągnięciu.  W bezpieczeństwie informacji skupimy się na zagrożeniach.
W zarządzaniu ryzykiem chodzi o to, by wprowadzić do organizacji pewien sposób myślenia (wyprzedzającego) i zasady postępowania, które zwiększą nasze szanse na osiągniecie celów. Zatem jeżeli już wyznaczymy cel, to musimy zastanowić się nad następującymi kwestiami:

  • Co może się wydarzyć niekorzystnego po drodze do sukcesu (osiągnięcia celu)?
  • Jaką mamy pewność, że może się to wydarzyć?
  • Co może być źródłową przyczyną takiego zdarzenia (jakie zagrożenie)?
  • Jak się wydarzy, to jak to wpłynie na nasz cel, jakie będą skutki dla organizacji?
  • Czy jesteśmy skłonni to zaakceptować?
  • Jeżeli nie, to w jaki sposób możemy nie dopuścić do takiego zdarzenia i ile nas to będzie kosztowało?
  • Jeżeli jednak się wydarzy, to czy jesteśmy w stanie zmniejszyć skutki i jak mamy się do tego przygotować?

To czy będziemy zapobiegać wystąpieniu zdarzenia, czy raczej przygotujemy się na zmniejszenie jego skutków, gdy już wystąpi, będzie zależało od poziomu ryzyka, od apetytu organizacji na ryzyko (skłonności do ryzyka) oraz od kosztów działań, które musielibyśmy ponieść, by zminimalizować ryzyko.

Pozyskanie tej wiedzy wymaga zaangażowania organizacji, ale to jeszcze nie wszystko. Jak już tę wiedzę zdobędziemy to wypada dobrze ją wykorzystać, co wiąże się z szeregiem działań, które:

  • pozwolą nam zdecydować, które ryzyka są istotne – określenie priorytetów,
  • pozwolą nam wdrożyć zabezpieczenia i zminimalizować prawdopodobieństwo, że zdarzenie wystąpi,
  • zapewnią nam informację, że nieuchronnie zbliża się zdarzenie, którego się obawialiśmy,
  • przygotują organizację do minimalizacji skutków zdarzenia, gdy już wystąpi.

Czy może to być działanie akcyjne?

Niestety nie, zarządzanie ryzykiem, jak każde ZARZĄDZANIE jest procesem ciągłym. Zatem musimy odpowiednio przygotować organizację poprzez zaplanowanie i wdrożenie procedur, podziału zadań i odpowiedzialności, monitorowanie, czy to co zaplanowaliśmy działa i czy działa prawidłowo, czy przynosi zamierzone efekty, czy możemy coś jeszcze poprawić, ulepszyć…. Tutaj wpadamy w pętlę Deminga, podstawową zasadę doskonalenia organizacji… ale to już dłuższa historia…

Dlaczego zarządzanie ryzykiem jest potrzebne?

  • Chcemy skutecznie zabezpieczyć nasz system informacyjny, a zatem chronić informacje należące do organizacji, bo to jest niezbędne np. do utrzymania konkurencyjnej pozycji na rynku, dobrego wizerunku organizacji;
  • Chcemy zapewnić bezpieczeństwo informacji, ale nie chcemy równocześnie ponosić zbyt dużych kosztów zabezpieczeń;
  • Chcemy również uniknąć zdarzeń, które mogą negatywnie wpłynąć na działania organizacji;
  • Chcemy, a wręcz musimy działać zgodnie z regulacjami czy wymaganiami prawnymi.

Jak wdrożyć zarządzanie ryzykiem w organizacji?

Najlepiej od początku do końca, systematycznie i w pełni, wdrażając poszczególne elementy procesu zarządzania ryzykiem. Należy zatem:

  • zbadać i zrozumieć cele i procesy biznesowe organizacji,
  • dostosować podejście odpowiednio do specyfiki danej organizacji, jej otoczenia zewnętrznego oraz skłonności do ryzyka (struktura organizacyjne, poziom dojrzałości, wymagania prawne dla działalności itp.),
  • opracować procedury i zastosować zestandaryzowane szablony do gromadzenia i zarządzania informacjami niezbędnymi w procesie zarządzania ryzykiem,
  • zebrać informacje – zidentyfikować i sklasyfikować aktywa organizacji,
  • zidentyfikować, ocenić ryzyka oraz zrozumieć ich istotę i wpływ na realizację celów organizacji,
  • wyznaczyć priorytety w postępowaniu z ryzykiem,
  • określić priorytety dla działań redukujących ryzyka,
  • zaangażować uczestników – właścicieli ryzyka do podejmowania działań minimalizujących ryzyko oraz monitorowania ryzyka i całego procesu,
  • monitorować postępowanie z ryzykiem i oceniać jego skuteczność,
  • regularnie monitorować i przeglądać ryzyka oraz proces zarządzania ryzykiem,
  • zbierać i analizować informacje w celu doskonalenia podejścia do ryzyka,
  • doskonalić proces i podnosić świadomość w zakresie zarządzania ryzykiem wśród kierownictwa i personelu.

Kluczem sukcesu wdrożenia zarządzania ryzykiem jest zawsze świadomość i postawa Kierownictwa.

Niestety bardzo często słyszę opinię, że ” w zarządzanie ryzykiem mogą się bawić duże korporacje, małe firmy nie mają czasu na zabawę – muszą działać”. Czy rzeczywiście tak jest? Nie, nie i jeszcze raz nie!  Po pierwsze zarządzanie ryzykiem to nie zabawa, jeżeli wprowadzimy proces adekwatny do organizacji, to szybko zobaczymy korzyści. Po drugie każdy z nas znajduje chwilę na refleksję, by spojrzeć na to co nam się udało osiągnąć, a czego nie? Dlaczego nam się nie udało? Co trzeba poprawić?  Czy to co się dzieje w otoczeniu jest szansą na biznes, czy zagrożeniem? Jednym słowem każdy z nas zarządza ryzykiem, może intuicyjnie, mało świadomie, ale jakoś zarządza. Uporządkowanie tego procesu może zwiększyć zdolność organizacji do realizacji jej celów.

Ciekawym zagadnieniem jest kwestia ustalenia w organizacji apetytu na ryzyko. Jest to jeden z fundamentalnych elementów zarządzania ryzykiem. Zachęcam do przeczytania artykuł Pani Anny KOROMBEL z Politechniki Częstochowskiej nt. Identyfikacji korzyści z zarządzania ryzykiem i wyznaczania apetytu ma ryzyko w małych i  średnich przedsiębiorstwach. Artykuł dostępny jest tutaj.  Miłej lektury i do zobaczenia wkrótce.

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

BEZPIECZEŃSTWO INFORMACJI I DANYCH OSOBOWYCH – ale o co chodzi?

Z definicji danych osobowych wynika, że są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Ochrona danych osobowych wiąże się zatem z zapewnieniem bezpieczeństwa informacji. Stąd w wytycznych i komentarzach w zakresie bezpieczeństwa danych osobowych, w szczególności analizy ryzyka funkcjonują odwołanie do norm ISO dotyczących bezpieczeństwa informacji.

Czym jest informacja i system informacyjny?

Dzisiejszy temat zaczniemy od zdefiniowania podstawowych pojęć związanych z bezpieczeństwem informacji.

Wypadałoby zacząć od informacji i znowu nie będzie łatwo, bo pojęcie to nie jest jednoznaczne. Definiowane jest różnie w zależności od dziedziny nauki. Mówiąc potocznie o informacji mamy na myśli komunikat lub inną formę niosącą treść, zmniejszającą poziom niewiedzy.

Często z informacją utożsamiane są dane i już tutaj warto podkreślić, że nie są to synonimy:

informacje ≠ dane

Dane są pewną formą prezentacji informacji. Przetwarzanie danych prowadzi do uzyskania informacji. Dane mogą być przechowywane i przedstawiane w formie zbiorów danych.

W normie ISO/IEC 17799:2007 wskazano, że informacja może przybierać różne formy: może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się, aby zawsze była w odpowiedni sposób chroniona.

Zbiór i przepływ informacji w organizacji tworzy system informacyjny, w którym część procesów będzie wspomagana systemami informatycznymi, a zatem:

system informacyjny  ≠ system informatyczny

Widzimy różnice?

Mając na uwadze definicje systemu informacyjnego musimy pamiętać, że ochrona informacji nie ogranicza się tylko do zabezpieczenia jej formy elektronicznej przetwarzanej w systemach informatycznych.

Jak zdefiniujemy bezpieczeństwo?

Bezpieczeństwo jest to stan dający poczucie pewności i gwarancję jego zachowania oraz szanse na doskonalenie.

Bezpieczeństwo informacji oznacza jej ochronę przed zagrożeniami, jest to zatem zespół działań podejmowanych w celu zabezpieczenia informacji przed zagrożeniami.

To co możemy chronić w informacji zostało nazwane jej atrybutami bezpieczeństwa:

W ochronie danych osobowych wymienia się trzy podstawowe atrybuty bezpieczeństwa informacji: poufność, integralność oraz dostępność. Pozostałe atrybuty są jednak równie ważne. Wyjaśnijmy wszystkie pojęcia:

Poufność – zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym; ochrona przed nieautoryzowanym pozyskaniem informacji.

Integralność – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; ochrona przed nieautoryzowaną modyfikacją informacji.

Dostępność – zapewnienie, że osoby upoważnione mają możliwość wykorzystania informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne; ochrona przed nieautoryzowaną odmową udostępnienia informacji lub zasobu.

Autentyczność – właściwość, która polega na tym, że podmiot przetwarzający informację jest tym za kogo się podaje, a pochodzenie lub zawartość danych opisujących obiekt są takie jak deklarowane.

Niezaprzeczalność – zdolność do udowodnienia, że wystąpiły deklarowane zdarzenia lub działania oraz że dany podmiot je wywołał.

Rozliczalność – odpowiedzialność podmiotu za jego akcje i decyzje oraz zapewnienie, że określone działanie dowolnego podmiotu może być jednoznacznie przypisane temu podmiotowi.

Kiedy zabezpieczać informacje?

Informacje należy zabezpieczeń w całym cyklu jej życia.

Cykl życia informacji obejmuje okres od momentu jej wytworzenia do momentu jej zniszczenia.

Cykl życia danych osobowych obejmuje okres od momentu ich pozyskania do momentu ich zniszczenia.

Dla skutecznego chronienia informacji należy zatem przeanalizować procesy biznesowe i przepływy informacji w ramach tych procesów.

Czym jest bezpieczeństwo danych osobowych?

RODO nie definiuje bezpieczeństwa danych osobowych. W rozporządzeniu znajdziemy definicję naruszenia ochrony danych osobowych, która odpowiada na pytanie przed czym chronimy dane osobowe:

Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zapewnienie bezpieczeństwa danych osobowych będzie zatem polegało na ochronie przed zagrożeniami, które prowadzą do nieuprawnionego:

  • zniszczenia danych, a zatem naruszenia atrybutu dostępności informacji;
  • utracenia danych, które może się wiązać z naruszeniem atrybutu dostępności informacji, ale również poufności danych (np. jeżeli skradziono nam komputer, na którym znajdowały się pliki z danymi osobowymi i nie mamy ich kopii – utrata dostępności; jeżeli komputer i pliki nie były zabezpieczone (szyfrowanie dysku, hasła do plików) – utrata poufności);
  • zmodyfikowania danych – naruszenia atrybutu integralności informacji;
  • ujawnienia lub dostępu – naruszenia atrybutu poufności informacji.

Wyjaśniliśmy sobie dotychczas najważniejsze pojęcia dotyczące istoty ryzyka oraz informacji i jej bezpieczeństwa. W kolejnym wpisie zajmiemy się bliżej zarządzaniem ryzykiem w bezpieczeństwie informacji.

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

Konferencja „IT w Administracji” 22 listopada 2018 r. – Warszawa

Dziś miałam przyjemność uczestniczyć w Konferencji „IT w Administracji” zorganizowanej przez GigaCon, na której zostały przedstawione zarówno projekty w procesie informatyzacji administracji publicznej jak i rozwiązania oferowane przez firmy komercyjne, które z powodzeniem mogą wspomóc ten proces.

Z przyjemnością obserwuję zmiany w sposobie działania administracji publicznej, szczególnie w samorządach i mam nadzieję, że dobre praktyki pójdą w świat. Jestem pod dużym wrażeniem wdrażania Cyfrowych Usług Wspólnych dla interesariuszy Miasta Zabrze. Zaprezentowane kompleksowe podejście projektowe do realizacji strategii budowy społeczeństwa informacyjnego, nastawionej na zaspokajanie potrzeb mieszkańców i biznesu, wspieranie rozwoju urzędników i wykorzystanie ich potencjału oraz  projektowa konsekwencja w działaniu przynoszą wymierne efekty.
Na pewno warto wzorować się na organizacjach odnoszących sukcesy. Tutaj widzę pole do działania dla audytorów wewnętrznych w jednostkach administracji publicznej (benchmarking). Z moich obserwacji wynika, że niestety świadomość korzyści płynących z funkcji audytu wewnętrznego jest nadal niska i funkcję tę postrzega się bardziej jako wymóg formalny ustawy o finansach publicznych niż cenne narzędzie wspomagające usprawnienie działalności operacyjnej organizacji. Chciałabym się mylić… Podzielcie się proszę swoimi spostrzeżeniami w tym temacie…

Wracając do konferencji…
Z rozwiązań komercyjnych większość prelegentów skupiała się na omówieniu rozwiązań informatycznych głównie pod kątem zarządzania infrastrukturą IT, monitorowania aktywności użytkowników i bezpieczeństwa danych. Nie brakowało przy okazji odniesień do RODO i sygnalizacji dedykowanych modułów w tym zakresie. Mówiąc o RODO w wielu przypadkach odnoszono się głównie do możliwości śledzenia operacji wykonywanych przez użytkowników na plikach, w tym monitorowania odwiedzanych stron www,  zdalnego audytu oprogramowania itp.
W bezpieczeństwie informacji, w tym danych osobowych w dobie „e-wszystko” najistotniejszą rolę odgrywa zarządzanie infrastrukturą IT oraz aktywnością użytkowników, stąd wszelkie rozwiązania zapewniające rozliczność i bezpieczeństwo w tym zakresie będą wspierały realizację zadań wynikających z RODO.
Szczególną uwagę zwróciłam jednak na rozwiązania w zakresie RODO przygotowane przez firmę LOG Systems oraz firmę A plus C Systems, gdzie przedstawiono dodatkowo kwestie możliwości inwentaryzacji zbiorów danych i rejestrowania czynności przetwarzania, zarządzania dostępami, upoważnieniami, szkoleniami. W rozwiązaniu firmy LOG Systems wskazano na funkcjonalność analizy ryzyka i workflow wspomagający realizację zadań ADO, zapewniający spełnienie zasady rozliczności.

W sumie warto poznać lepiej narzędzia IT wspomagające ADO w realizacji zadań w zakresie zapewnienia bezpieczeństwa danych osobowych.
Dopisuję temat do listy czekającej na realizację.

Więcej o konferencji na stronie: https://gigacon.org/event/it-w-administracji-warszawa/

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

RYZYKO – czy na pewno wiesz co oznacza?

Zanim zaczniemy szeroko omawiać kwestie zarządzania ryzykiem w ochronie danych osobowych zapraszam do rozważań na temat istoty ryzyka. Zdefiniujemy podstawowe pojęcia związane z ryzykiem. Zaczniemy od prostych przykładów, zatem osoby, dla których istota ryzyka nie jest obca zapraszam do kolejnych wpisów, gdzie zajmiemy się ryzykiem w bezpieczeństwie informacji, w tym danych osobowych.

Ryzyko jest pojęciem wieloznacznym, trudnym do zdefiniowania. Definiowane jest na bazie różnych nauk i teorii, m.in. w ekonomii, naukach behawioralnych, naukach prawnych, psychologii, statystyce.

Słowo ryzyko pochodzi od starowłoskiego „risicare”, które oznacza „odważyć się”. Można zatem postrzegać ryzyko jako pewnego rodzaju wybór. Od razu nasuwa się skojarzenie, że w tym znaczeniu ryzyko wiąże się z podejmowaniem decyzji w warunkach niepewności.

W przedmiocie zarządzania ryzykiem funkcjonuje wiele standardów, które definiują ryzyko w podobny sposób, uwypuklając różne jego aspekty. W naszych rozważaniach na temat bezpieczeństwa ochrony danych osobowych będziemy kierować się normą ISO 31000 dotyczącą zarządzania ryzykiem oraz nawiązującą do niej normą ISO/IEC 27005 w zakresie zarządzania ryzykiem w bezpieczeństwie informacji. Normy te definiują ryzyko w następujący sposób:

Ryzyko to wpływ niepewności na cele

Niepewność to pewien stan, również częściowy, braku informacji związanej ze zrozumieniem lub wiedzą na temat zdarzenia, jego następstw lub prawdopodobieństwa.

Niepewność można zatem stopniować. Jest to stan od niepewności sensu stricto (nazwijmy ją niewiadomą), gdzie nie możemy sobie nawet wyobrazić zdarzenia, które mogłoby wystąpić i nie mamy żadnej informacji, która pozwoliłaby nam je zidentyfikować, do niemal pewności, że coś się wydarzy i wiedzy jakie przyniesie skutki.

Z niepewnością sensu stricto (niewiadomą) mamy do czynienia np. w badaniach naukowych, gdzie podejmując badanie nie jesteśmy w stanie ocenić ani prawdopodobieństwa ani rezultatów badania. Natomiast mówiąc o pewności możemy mówić o zdarzeniach podlegających np. prawom fizyki, matematyki. Stan między niepewnością sensu stricto a stanem pewności to właśnie ryzyko.

Ryzyko jest formą niepewności, którą możemy zmierzyć

Ryzyko = prawdopodobieństwo x skutek

Ryzyko postrzegane jest jako wartość stanowiąca iloczyn prawdopodobieństwa wystąpienia i wagi skutków. Ten temat pozostawimy do rozważań przy ocenie ryzyka w bezpieczeństwie informacji.

Rozwińmy poprzednią definicję:

Ryzyko to możliwość (prawdopodobieństwo) zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów

Ryzyko może być postrzegane jako zagrożenie mające negatywny wpływ na realizację celów bądź jako szansa, gdy oczekujemy pozytywnych skutków.

Szanse będą rozpatrywane, w szczególności w działaniach sprzedażowych, badawczo-rozwojowych oraz przy budowaniu strategii organizacji, natomiast zagrożenia będą rozpatrywane głównie w działalności operacyjnej, wykonawczej.

Zdefiniujmy jeszcze dwa pojęcia związane z ryzykiem tj. „zdarzenie” i „zagrożenie”.

Zdarzenie to wystąpienie lub zmiana konkretnego zestawu okoliczności. Zdarzeniem może być działanie lub zaniechanie działania. Zdarzenie może być określane jako „incydent”.

Mówiąc o incydencie mamy na uwadze zdarzenia, które wystąpiły. Mówiąc o ryzyku myślimy o zdarzeniach, które mogą się wydarzyć w przyszłości, ale nie mamy pewności, czy się wydarzą.

Zagrożenie to potencjalna przyczyna niepożądanego zdarzenia, które może wywołać szkodę w systemie lub organizacji.

Z ryzykiem mamy do czynienia, gdy prawdopodobieństwo wystąpienia jest większe od 0% i zarazem mniejsze od 100%. Jeżeli zdarzenie przyszłe wystąpi ze 100% pewnością to mówimy o zagadnieniu, a nie o ryzyku.

Przykładowo, jeżeli z raportów kadrowych wynika, że 10 % obsady firmy odejdzie w najbliższym roku na emeryturę to mamy zagadnienie związane z oczekiwanym niedoborem kadrowym, które wymaga podjęcia działań. Jeżeli nic nie zrobimy z tą informacją to za rok będziemy mieli niedobór kadr – zdarzenie pewne. Jako ryzyko możemy natomiast rozpatrywać możliwość pozyskania pracowników o wystarczających kompetencjach, by ten niedobór pokryć. Zagrożeniem może być w tym przypadku brak na rynku pracy wystarczającej liczby potencjalnych pracowników o poszukiwanych kompetencjach.

Kiedy mówimy o ryzyku to mówimy o niepewności, której jesteśmy świadomi, gdzie dysponujemy informacjami pozwalającymi ocenić prawdopodobieństwo wystąpienia oraz znamy katalog możliwych skutków.

Podajmy najprostszy przykład z naszego codziennego życia:

Kiedy mamy zamiar przejść przez ulicę w niedozwolonym miejscu to analizujemy otoczenie oraz nasze uwarunkowania (czynniki zewnętrzne i wewnętrzne ryzyka) np. ruch samochodów, szerokość drogi, jej ukształtowanie, widoczność, pogodę, naszą kondycję i np. obuwie (właśnie wyobraziłam sobie przeprawę przez trzypasmową drogę w szpilkach na wysokim obcasie 😉). Na tej podstawie możemy zidentyfikować zdarzenia jakie mogą nam się przytrafić w drodze do osiągnięcia celu, prawdopodobieństwo ich wystąpienia oraz katalog potencjalnych skutków.

Zagrożeniem jest przejście przez ulicę w niedozwolonym miejscu (przyczyna niepożądanych zdarzeń). Przyjrzyjmy się jak możemy zdefiniować zdarzenia, jakie mogą mieć skutki i jak możemy opisać ryzyko.

Zdarzenie Katalog skutków Ryzyko
Potrącenie przez samochód od lekkich otarć, złamań, kalectwa do utraty życia Możliwość (prawdopodobieństwo) potrącenia przez samochód skutkującego utratą zdrowia lub życia
Zatrzymanie przez Policję od pouczenia do mandatu Możliwość zatrzymania przez Policję skutkującego stratą materialną
Upadek podczas przeprawy przez drogę od pobrudzenia odzieży, poprzez otarcia, skręcenie do   np. złamania nogi Możliwość upadku skutkującego utratą zdrowia

Oczywiście może nam się przytrafić seria zdarzeń np. upadek i zaraz potem potrącenie… ale nie idźmy tą drogą.

Przykład z życia skłania do refleksji, bo skutki najpoważniejsze jakie można sobie wyobrazić… W decyzji, czy podjąć ryzyko, czy jednak nie, warto spojrzeć na statystyki:

Niestety z artykułu „Sprawdzili, dlaczego giną piesi w Polsce. I dlaczego tak dużo”, z którego pochodzą ww. wykresy, wynika, że jesteśmy w czołówce ponurych statystyk… Cały artykuł dostępny tutaj.

Mam nadzieję, że ryzyko przestało nam być obce. W następnym wpisie zgłębimy kwestie ryzyka w bezpieczeństwie informacji, w tym danych osobowych.
Zapraszam już wkrótce.

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

Na start

Dzień dobry,

Kiedy zakiełkowała we mnie myśl o stworzeniu własnego bloga, miałam mnóstwo pomysłów, tematów, problemów, którymi chciałam się z Wami podzielić… Pomysły, tematy, problemy tkwią w mojej głowie i częściowo już zostały spisane, a ja wciąż nie zdecydowałam od czego zacząć…
Najlepiej byłoby zacząć od początku… tylko, że początki zazwyczaj nie są proste… wymagają powrotu do źródeł, do pojęć, do istoty… Dla niektórych początki mogą być nudne, bo przecież podstawową wiedzę już mamy, pewne pojęcia są nam znane… Czasami jednak, aby poruszyć istotne problemy warto wrócić do podstaw, ustalić wspólny język pojęć jako podstawę porozumienia.

Wyznając zasadę, że  nawet nie do końca trafna decyzja jest lepsza od braku decyzji, postanowiłam rozpocząć od bliskiemu memu sercu: ZARZĄDZANIA RYZYKIEM, uwzględniając głos rozsądku, który podpowiada, by nie zaniedbywać RODO.

Zapraszam Was zatem do cyklu, krótszych i dłuższych rozważać na temat Zarządzania ryzykiem w ochronie danych osobowych oraz innych zagadnień z ochrony danych osobowych, które będą publikowane na moim blogu co najmniej raz w miesiącu.

Życzę miłej lektury i zapraszam do dyskusji!