Program stanowi autorskie rozwinięcie metody szacowania ryzyka oparte na normie „PN-ISO 31000 Zarządzanie ryzykiem. Zasady i wytyczne”.

Narzędzie pozwala na wspólne (jako rozwiązanie sieciowe) gromadzenie w uporządkowanej formie informacji o zbiorach wraz z wykazem systemów informatycznych, służących do przetwarzania danych w ww. zbiorze, tworzenie wykazu czynności przetwarzania, a także na ocenę ryzyka dla każdej z ww. czynności (identyfikacja zagrożeń i podatności dla każdego z nich).

Każde z ryzyk dla czynności przetwarzania jest indywidualnie oceniane w specjalnie ustalonej metodyką skali oceny, która bazuje na założeniu binarnego oceniania naruszenia bezpieczeństwa danych osobowych (tj. doszło do naruszenia, lub nie).

Ideą programu jest zebranie informacji podczas szacowania ryzyka w sposób zorganizowany, umożliwiając wspólny podgląd i pracę członków zespołu audytorskiego nad identyfikacją czynności przetwarzania i ryzyk, a w następnej fazie ich oceny o doborze środków. Implementowana w programie metoda wykorzystuje w procesie oceny zapisy preambuły RODO: motyw 75 wskazujący na zagrożenia związane z przetwarzaniem danych oraz motyw 85, w którym wskazano skutki wystąpienia zagrożenia.

Ustalenie ryzyka opiera się na szacowaniu jakościowym według poniższej tabeli:

Ocena ryzyka dla wybranej czynności		Skala skutków naruszenia
Prawdopodobieństwo wystąpienia naruszenia		NISKIE	ŚREDNIE	WYSOKIE
	NISKIE	NISKIE	ŚREDNIE	WYSOKIE
	ŚREDNIE	ŚREDNIE	WYSOKIE	KRYTYCZNE
	WYSOKIE	WYSOKIE	KRYTYCZNE	KRYTYCZNE

 

Następną czynnością w szacowaniu ryzyka jest dobór środków zabezpieczenia. Program umożliwia zestawienie informacji o dobranych środkach dla każdej z czynności przetwarzania, przy tym pozwala na indywidualny dobór sposobu postępowania z ryzykiem.

Uwzględniono też (na etapie szacowania) podjęcie decyzji o konieczności konsultacji wynikającej ze zidentyfikowanego ryzyka skutków jako wysokiego (vide art. 35 RODO) przed podjęciem czynności przetwarzania danych (vide art. 36 RODO).

Program wyposażono w raportowanie w postaci zestawień tabelarycznych procesu szacowania oraz zestawień zawierających konieczne działania naprawcze dla poszczególnych czynności przetwarzania.

Autor: Wojciech Mielnicki

Aplikacja jest narzędziem wspomagającym zarządzanie dostępem do danych osobowych organizacji, udostępniającym rejestr użytkowników, którym nadano prawo dostępu do danych osobowych.

Koncepcja programu oraz dostępne funkcjonalności powstały w oparciu o wieloletnią wiedzę autora programu oraz konsultacje z praktykami w dziedzinie zarządzania bezpiecznym przetwarzaniem danych osobowych zgodnie z przepisami prawa oraz dobrymi praktykami.

Program pozwala na uwzględnienie specyfiki organizacji, w której aplikacja jest wdrażana. Dostępne są wersje pracujące jednostanowiskowo, jak również w architekturze klient-serwer.

Aplikacja spełnia wszystkie wymagania stawiane systemom informatycznym przetwarzającym dane osobowe, w tym zapewnia zarządzanie dostępem użytkowników do bazy danych oraz rejestrację wszystkich zdarzeń, zmieniających stan danych.

Podstawową funkcjonalnością aplikacji jest rejestrowanie osób, którym nadawane są uprawnienia do danych osobowych, przy jednoczesnym określeniu zakresu nadanego dostępu.

Dla każdego upoważnionego odnotowywane są szczególnie:

• daty nadania i cofnięcia dostępu do danych osobowych,
• sposób i tryb nadania uprawnień (kto wnioskował, z jakiego tytułu uprawnienie jest nadawane),
• zakres i podstawa upoważnienia dostępu do danych,
• okoliczności nadania dostępu (szczególnie: powierzenie, udostępnienie, oświadczenie, umowy cywilnoprawne na mocy których dostęp do danych ma miejsce),
• wykaz zbiorów danych osobowych do których uprawniony ma dostęp,
• wykaz obszarów przetwarzania danych osobowych w których osoba uprawniona przetwarza dane osobowe,
• wykaz szkoleń, w których osoba upoważniona do przetwarzania danych osobowych uczestniczyła (opcja).

Wszystkie powyższe uprawnienia mogą być wielokrotnie i w różnych konfiguracjach nadawane dla jednego upoważnianego: osoba może być kwalifikowana/zatrudniana dla każdego zadania w sposób odrębny, uwzględniający np. fakt wielokrotnej podległości służbowej.

System wspierany jest bazą słownikową ułatwiającą wprowadzanie standardowych zestawów wpisów (np. zakresu upoważnień, nazw wnioskujących, komórek organizacyjnych, itp.). Umożliwia filtrowanie danych wprowadzonych do rejestru według kilkudziesięciu kryteriów w dowolnych krzyżowych zestawieniach ww. kryteriów, co pozwala na bardzo dokładne separowanie informacji oczekiwanej przez administratora danych jak również organy kontrolne. System w sposób dynamiczny generuje zestawienia obszarów, w których zachodzi przetwarzanie danych osobowych.
Wskazany mechanizm zwalania użytkownika z systemu od uciążliwego obowiązku zestawiania i nadzorowania zgodności ww. zestawienia.

W system wbudowano także inne funkcjonalności, tj.:

• Rejestr udostępnień zbiorów, który organizuje proces udostępniania danych osobowych ze zbioru na wniosek – rejestrowane są: Data wniosku, dane wnioskującego, nazwa zbioru z którego następuje udostępnienie, komórka organizacyjna prowadząca sprawę udostępnienia, dane osoby prowadzącej sprawę i udostępniającej dane ze zbioru, treść kierowanego wniosku i odpowiedzi, podstawa i zakres udostępnienia danych oraz inne informacje istotnie związane z udostępnieniem.
  System umożliwia podział obowiązków i uprawnień w obszarze zadania udostępniania danych w czym wykorzystuje architekturę sieciową (oczywiście w wersji jednostanowiskowej też jest możliwość zastosowania rozdziału uprawnień dla poszczególnych użytkowników).
  Powyższy rejestr wyposażony jest w bazę słownikową podstaw udostępnień, którą redaguje według własnych potrzeb użytkownik systemu.
  Obecny w systemie filtr danych pozwala na precyzyjne wypreparowanie informacji o udostępnieniach według zadanego klucza.
• Rejestr zbiorów – rejestr, którego prowadzenie jest wymagane w związku z obowiązkiem ustawowym nałożonym na administratorów danych, obligującym administratora danych do prowadzenia ww. rejestru zawierającego (vide: rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719)):

• • nazwy zbioru danych,
  • oznaczenia administratora danych i adresu jego siedziby lub miejsca zamieszkania oraz numeru identyfikacyjnego rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
  • oznaczenia przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adresie jego siedziby lub miejsca zamieszkania – jeśli ADO wyznaczył taki podmiot,
  • oznaczenia podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adresu jego siedziby lub miejsca zamieszkania – jeśli ADO powierzył przetwarzanie danych takiemu podmiotowi,
  • podstawy prawnej upoważniającej do prowadzenia zbioru danych,
  • celu przetwarzania danych w zbiorze,
  • opisu kategorii osób, których dane są przetwarzane w zbiorze,
  • zakresu danych przetwarzanych w zbiorze,
  • sposobu zbierania danych do zbioru, w szczególności informacji, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą,
  • sposobu udostępniania danych ze zbioru, w szczególności informacji, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa,
  • oznaczenia odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane,
  • informacji o ewentualnym przekazywaniu danych do państwa trzeciego.

Powyższy rejestr spełnia również wymagania w zakresie ewidencji zmian dotyczących informacji gromadzonych w ww. rejestrze.

Tak jak we wcześniej wymienionych funkcjonalnościach systemowych, również i w rejestrze zbiorów dostępne są ułatwienia: {1}słownik podmiotów dla pól: Administrator danych osobowych, Przedstawiciel, Procesor, oraz {2}filtr za pomocą którego można precyzyjnie z rejestru wyreparować informacje według zadanego klucza.

W zależności od wersji programu dostępne są również dodatkowe narzędzia, w tym:

• Narzędzia administracyjne zarządzania bazą danych (porządkowanie i kompresja bazy, zarządzanie tworzeniem kopii bezpieczeństwa oraz przywracaniem danych z kopii)
• Narzędzia wymiany danych między administratorem bezpieczeństwa informacji/inspektorem ochrony danych a osobami uczestniczącymi w zarządzaniu procesem przetwarzania danych osobowych (jest to specyficzna forma wymiany informacji i plików, w której porządkowanie następuje względem zgłoszonego wątku tematycznego).

W niedalekiej przyszłości dodana zostanie funkcja rejestru czynności przetwarzania danych, do którego prowadzenia obligują przepisy RODO (nie dotyczy wszystkich podmiotów).

Program w trakcie rozbudowy rozrastał się w sposób dający możliwość dostosowania jego cech użytkowych do różnych potrzeb różnych odbiorców programu.
Cecha ta pozwala również na „płynne” przejście od wymagań stawianych w obowiązującej obecnie ustawie o ochronie danych osobowych na wymagania rozporządzenia unijnego – RODO.

Program jest stale rozwijany. Pomimo istniejącego, wbudowanego zaawansowanego edytora raportów, natywnie dodawane są raporty najbardziej oczekiwane przez użytkowników współpracujących z autorem.

Autor: Wojciech Mielnicki

Opis programu.
Podstawową funkcją programu jest gromadzenie informacji o zdarzeniach i incydentach dotyczących różnych ich kategorii (uzupełniająco program może być przydatny we wszelkich działaniach w których istotna jest analiza zestawień dotyczących zdarzeń, np. w działaniach związanych z kontrolą zarządczą).
Program posiada moduł zgłoszeniowy służący do zgłaszania zdarzeń, w tym incydentów, oraz moduł główny, w którym gromadzone są informacje o zgłoszonych zdarzeniach.

Moduł zgłoszeniowy.
Stanowi funkcjonalnie aplikację, która daje możliwość każdemu (uprawnionemu) pracownikowi zgłoszenia zdarzenia przy jednoczesnym wyborze charakteru zdarzenia, decyzji, czy zdarzenia ma naturę incydentu, oraz wyboru tzw. wagi zdarzenia (tj. oceny istotności).
W zależności od decyzji, użytkownik ma możliwość zgłoszenia anonimowego lub zgłoszenia z pełną identyfikacją osoby zgłaszającej.

Moduł główny.
W module głównym dostępne są funkcje opisane dla modułu zgłoszeniowego, oraz funkcje komentowania zgłoszeń i ich podsumowywania (założeniem programu jest prowadzenie zdarzenia na wszystkich jego etapach: od zgłoszenia do wniosków finalnych/naprawczych), oraz szereg innych funkcji służących organizacji zgłoszonych zdarzeń i ich obsługi;
W systemie rozbudowane są mocno funkcje grupujące, filtrujące i agregujące, które działają łączenie z równie mocno rozbudowanymi mechanizmami uprawnień użytkowników do poszczególnych kategorii informacji (dostęp do poszczególnych zgłoszeń zależy od konfiguracji uprawnień dla obsługującego system użytkownika).
W program wbudowano mechanizm powiadamiania o zdarzeniach drogą mailową: W zależności od konfiguracji uprawnień, użytkownicy modułu głównego mogą otrzymywać informacje o zdarzeniach, które kierowane są do Ich wiadomości.
Program wyposażono w generator raportów umożliwiający ich własne przygotowanie oraz dwa gotowe raporty, tj.: Zestawienie zawierające zdarzenie i okoliczności jego zgłoszenia, sposób jego obsługi (komentarze uczestników obsługujących zgłoszenie) oraz podsumowanie wskazujące na sposóbzałatwienia sprawy oraz Zestawienie wszystkich zdarzeń z podziałem na grupy tematyczne, ilość zdarzeń w poszczególnej grupie przy jednoczesnym wypreparowaniu zdarzeń o charakterze incydentów.

Praktyka stosowania.
W praktyce często spotykanym przykładem stosowania ww. systemu jest wykorzystanie jego funkcjonalności jako narzędzia do zgłaszania incydentów naruszeń bezpieczeństwa oraz zgłaszania potrzeb serwisowych w firmie (np. odrębnie z działów: IT i Administracji).
Właściwe skonfigurowanie systemu pozwala zgromadzić w jednym systemie wszystkie powyższe informacje oraz dystrybuować je wyłączeni do uprawnionych, obsługujących zdarzenia pracowników (przykładowo: dział IT otrzyma zgłoszenia dotyczące koniecznego serwisu drukarki, dział Administracji informację o uszkodzeniu zamka w drzwiach, a Administrator bezpieczeństwa informacji o naruszeniu zabezpieczenia danych osobowych).

Autor: Wojciech Mielnicki