9 zasad tworzenia prawidłowych procedur ochrony danych.

9 zasad tworzenia prawidłowych procedur ochrony danych.

Poniższe zasady mogą wydawać się oczywiste – jednak, niestety – tworzenie zbyt formalistycznych, oderwanych od rzeczywistości procedur ochrony danych osobowych (ale także innych informacji) to bardzo powszechny problem. Bardzo często używanie skomplikowanego języka jest formą „pójścia na skróty” przez tworzących procedury. Problem  polega na tym, że tak ustalone zasady nie realizują celu, jakiemu mają służyć, a bardzo często (głównie ze względu na język o i poziom ogólności lub brak dostosowania do konkretnej działalności) nie mają wręcz szans na to, by być stosowane w praktyce.

Jak więc tworzyć dokumenty takie jak np. polityka użytkowania urządzeń mobilnych, polityka pracy zdalnej, czy też ogólna polityka bezpieczeństwa ?

Oto 9 zasad tworzenia procedur, których przestrzeganie ułatwi przygotowanie zasad bezpieczeństwa tak, by 

  1. Wszelkie tworzone procedury muszą być proste, zrozumiałe i przejrzyste – a inaczej ujmując: jak najprostsze – tworzenie skomplikowanych, liczących setki stron dokumentów których nikt nie rozumie nie tylko nie zmniejsza ryzyka prawnego, ale poprzez brak przejrzystości stwarza dodatkowy chaos i zachęca użytkowników do lekceważenia i ignorowania zapisanych zasad.
  2. Procedury należy pisać takim językiem, by potencjalna osoba zobowiązana do ich przestrzegania (która nie musi być specjalistą znająca fachową terminologię) miała szansę na ich zrozumienie. To oczywiście nie zawsze się uda – ale zawsze należy starać się ten cel osiągnąć.
  3. Ustalone w formalnie przyjętych dokumentach procedury należy traktować wyłącznie jako narzędzie do osiągnięcia celu – a nie cel sam w  sobie. Jako cel któremu służyć mają procedury należy rozumieć zmianę lub utrwalenie konkretnych, praktycznych czynności wykonywanych w codziennej działalności.
  4. Stworzenie procedur postępowania powinno być poprzedzone inwentaryzacją informacji oraz sposobów ich pozyskiwania, wykorzystywania, przechowywania, archiwizowania, przekazywania i usuwania – a ujmując prościej: należy w pierwszej kolejności ustalić, co się ma i co się z tym robi.
  5. Po inwentaryzacji należy zidentyfikować  – na tyle, na ile jest to możliwe – sytuacje, które w sposób realny mogą mieć wpływ na dostępność, poufność i integralność przetwarzanych informacji, należy więc oszacować ryzyko – ustalone ostatecznie procedury to w istocie forma podsumowania wniosków, jakie wyniknęły z oszacowania ryzyka.
  6. Procedury powinny być tak sformułowane, by z perspektywy osób upoważnionych do przetwarzania danych były realnie możliwe do zastosowania, powinny one być tworzone z poszanowaniem codziennych obowiązków zawodowych osób, które będą zobowiązane do ich przestrzegania. Im procedura będzie mniej inwazyjna, tym większa szansa na to, ze będzie realnie stosowana.
  7. Procedury powinny mieć wbudowany element sankcji – które powinny być jednak stosowane jako ostateczność.
  8. Odbierając od osób upoważnionych oświadczenie o zobowiązaniu się do przestrzegania procedur nie należy stosować formy zbyt ogólnej, lakonicznej – w powiązaniu z oświadczeniem należy stosować formę, podsumowania, wyciągu z najistotniejszych zasad bezpieczeństwa. Rozwiązania, w których osoba upoważniona oświadcza,: „zobowiązuję się do przestrzegania wszelkich stosowanych w xxx zasad postępowania z danymi osobowymi (lub innymi informacjami)” – w większości przypadków stanowi rozwiązanie pozorne, fikcyjne – jeżeli nie jest powiązane przynajmniej z przytoczeniem najważniejszych obowiązków.
  9. Procedury powinny uwzględniać różną wagę dokumentów i informacji, by nie doprowadzać do absurdalnych rozwiązań – np. nie ma powodu, by chować wizytownik „po klucz” na czas sprzątania biura – ale już w przypadku dokumentacji z  wypadków przy pracy czy wniosków o dofinansowanie z ZFŚS jest to absolutna konieczność – temu ma właśnie w praktyce służyć szacowanie ryzyka, o którym mowa w pkt 4.
  10. Ustalone procedury nie powinny być traktowane jako skończona i doskonała całość, należy na bieżąco zwracać uwagę na to, czy są realnie stosowane (np. czy nie są zbyt mało praktyczne) i czy nie ma w nich luk – a stwierdzone wady na bieżąco uzupełniać.

Dodaj komentarz