Dzisiejszy wpis poświęcono jednej z najbardziej fundamentalnych kwestii dotyczących ochrony danych wg RODO – podejściu procesowemu. We wpisie przybliżymy ideę identyfikacji procesów przetwarzania danych w organizacji.
RODO narzuca na przetwarzających dane osobowe obowiązek procesowego podejścia do ich ochrony. Oznacza to, iż zarówno podejście do przystosowania organizacji do jego wymogów, jak i cała filozofia ochrony danych powinna opierać się na identyfikacji i analizie procesów. Procesy te z jednej strony powinny zostać przemodelowane w celu ograniczenia ryzyka, na jakie są eksponowane (privacy by design & privacy by default), z drugiej zaś – stanowią centralny punkt w permanentnym procesie zarządzania ryzykiem przetwarzania danych (risk based approach).
Istota podejścia procesowego
Podejście procesowe kładzie szczególnych nacisk na funkcje wykonywane przez organizację. Zatem optyka procesowa każe nam postrzegać firmę przez pryzmat funkcji jakie są w niej realizowane (sprzedaż, marketing, produkcja, świadczenie usług klientom itd.). Wykonywanie przez organizację tych funkcji jest niezbędne do realizacji jej celów i misji.
Centralne pojęcie omawianego podejścia stanowi proces. Proces składa się z logicznie uporządkowanych czynności, których wykonanie prowadzi do określonego efektu. Każdy proces posiada swojego odbiorcę bądź odbiorców (klienta), przy czym warto zauważyć, że klientami mogą być zarówno podmioty zewnętrzne (np. dostawcy, czy klienci właśnie) lub podmioty wewnętrzne (pracownicy).
Oprócz odbiorców w każdym procesie możemy wyróżnić jego początek i koniec, uczestników procesu, zaangażowane zasoby, czy właściciela procesu – czyli osobę za niego odpowiadającą.
Organizacja jako zbiór przeplatających się procesów
Podejście procesowe sugeruje rozpatrywanie procesów na trzech poziomach: całej organizacji, procesów i stanowisk pracy. Procesy wykonywane w ramach stanowiska pracy składają się na procesy zasadnicze, a te przyczyniają się do realizacji procesów całej organizacji (dużych procesów – czyli np. marketingu)
Organizacyjne procesy wzajemnie się przeplatają , uzupełniają i nachodzą na siebie.
Identyfikacja procesów
Wyodrębniając procesy musimy zawsze pamiętać, iż każdy proces ma jakiś początek i prowadzi do określonego efektu. Zaś efekt ten często jest punktem wyjścia kolejnego procesu. Co więcej każdy proces składa się przynajmniej z kilku faz i odbywa się na przestrzeni czasu.
Możemy mówić o dwóch zasadniczych podejściach do identyfikacji organizacyjnych procesów:
- „Z dołu w górę” – polega na analizie wychodzącej od wielu małych procesów i wspinaniu się na wyższe stopnie złożoności, aż do momentu dojścia na poziom dużych, organizacyjnych procesów o ogólnym charakterze.
- „Z góry w dół” – analiza wychodząca od dużych, organizacyjnych procesów i zorientowania na wyłanianie procesów, z których składa się każdy kolejny analizowany duży proces. Gdy już wyczerpiemy wszystkie ich elementy – przechodzimy na kolejny, niższy poziom. Po ukończeniu średniego stopnia analizy, powtarzamy procedurę zejścia – tym razem na najniższy poziom i tutaj dokonujemy analizy celem wyodrębnienia tworzących je procesów.
Osobom nie mającym doświadczenia w podejściu procesowym polecam metodę drugą, gdyż jest ona – przynajmniej moim zdaniem – bardziej intuicyjna. Jednak niezależnie od zastosowanego podejścia, analiza procesów organizacji pozwala nie tylko na lepszą, bardziej zindywidualizowaną ochronę danych, ale także na lepsze zrozumienie własnej działalności. Istnieje duża szansa, że przyczyni się to nie tylko do poprawy bezpieczeństwa firmy, ale także do usprawnień jej działalności.
PODOBAJĄ CI SIĘ TREŚCI NA BLOGU?
Dołącz do subskrybentów newslettera, aby otrzymywać ciekawe treści, które pomogą Ci zatroszczyć się o bezpieczeństwo Twoje i Twojej organizacji.
KLIKNIJ W PONIŻSZY PRZYCISK!