Bezpieczeństwo danych osobowych może stanowić część systemu jakości, dzięki wykorzystaniu gotowych narzędzi zarządczych. Pozwalają one wykazać wydajność procesów i zgodność organizacji z wymaganiami prawa oraz zwiększyć zadowolenie klienta.
Ochrona danych osobowych jest obecnie jednym z dominujących obszarów wymagań prawnych, ale i jakościowych, z uwagi na regulacje unijnego rozporządzenia RODO (zacznie być stosowane w UE od 25 maja br.). Kwestie bezpieczeństwa danych osobowych stają się istotne na każdym z etapów cyklu życia informacji i procesów organizacji.
Wymóg dostosowania firmy do rozporządzenia RODO dotyczy niemalże wszystkich podmiotów działających na terenie UE, które w toku działalności gromadzą i przetwarzają dane. Naruszenie zasad RODO niesie za sobą ryzyko zarówno sankcji – wysokich kar pieniężnych, jak i zagrożeń dla ciągłości działania organizacji oraz jej reputacji na rynku.
Znormalizowane systemy jakości oferują narzędzia wspierające dostosowanie się podmiotów do nowych uwarunkowań prawnych, w tym np. RODO.
Już na etapie definiowania strategicznych kierunków działania organizacji, może zostać uwypuklona kwestia ochrony danych (np. w formie zapisów polityki oraz celów systemu jakości). Będzie to stanowić istotny sygnał dla klientów, pracowników i zewnętrznego otoczenia organizacji, że bezpieczeństwo informacji jest dla niej priorytetową kwestią.
System jakości w organizacji wymusza też wskazanie odpowiedzialności za monitorowanie, analizę i przegląd wymagań prawnych (również w obszarze ochrony danych) oraz identyfikację i monitoring ważnych czynników i wymagań zainteresowanych stron w kontekście zagrożeń i szans ochrony informacji.
W znormalizowanych systemach jakości, w zakresie uzyskiwania pożądanych wyników w obszarze bezpieczeństwa danych, stosowane jest podejście systemowe. Służy ono uzyskaniu pełniejszego obrazu cyklu życia informacji, odpowiedzialności i uprawnień za poszczególne operacje przetwarzania, przepływu danych pomiędzy działami i organizacjami oraz systemów ich przetwarzania. Podejście systemowe pozwala też zidentyfikować luki i nieefektywne operacje.
Przy planowaniu przebiegu procesów i operacji przetwarzania danych należy uwzględniać zjawisko niepewności w osiąganiu celów (np. zagrożenie naruszenia praw i wolności podmiotów danych oraz interesów administratora danych). Zarówno systemy jakości, jak i ochrona informacji, wymagają stosowania oceny ryzyka. Stosowane w systemach jakości narzędzia oceny ryzyka można wykorzystać do spełnienia wymagań Rozporządzenia RODO.
Art. 5, ust. 2 RODO wprowadza tzw. zasadę rozliczalności – to jest obowiązek wykazania przez administratora danych w każdej organizacji, że wdrożyła ona przepisy rozporządzenia. W tym przypadku również z pomocą przychodzą normy dotyczące systemów jakości, które proponują gotowe rozwiązania w zakresie nadzorowania udokumentowanej informacji.
Przetwarzanie danych i związane z nimi ryzyka występują na każdym etapie procesu. Bez skutecznych procesów szkoleniowych, w ramach systemów jakości, utrudnione jest uzyskanie efektu w postaci wiedzy i oczekiwanych postaw personelu w zakresie bezpieczeństwa informacji.
Systemy jakości obejmują ponadto zobowiązanie do współpracy z wiarygodnymi dostawcami zewnętrznymi, przetwarzającymi dane osobowe. Mogą oni zostać włączeni w programy kwalifikacji i okresowej oceny w uwzględnieniem aspektu bezpieczeństwa danych, co umożliwi ich monitorowanie.
Systemy jakości oferują jeszcze całe spektrum narzędzi, pomocnych w zapewnieniu zgodności z wymaganiami RODO, takich jak postępowanie z wyrobem niezgodnym czy audyty wewnętrzne; narzędzi, które mogą istotnie wesprzeć organizację we wdrożeniu i utrzymaniu mechanizmów właściwego zabezpieczenia danych i informacji.
Piotr Ubych, menedżer produktu ds. ochrony danych, DEKRA Certification Sp. z o.o.
„Art. 5, ust. 2 RODO wprowadza tzw. zasadę rozliczalności
– to jest obowiązek wykazania przez administratora danych
w każdej organizacji, że wdrożyła ona przepisy rozporządzenia”