Procedura korporacyjna vs. Prawo krajowe – co robić, gdy są ze sobą sprzeczne?

Wyślij link znajomemu

Bezpieczeństwo Informacji- komentarz Audytela na temat sytuacji na rynku (lipiec 2014)

Poziom sformalizowania działań wielu firm i instytucji rośnie z roku na rok, obejmując swoim działaniem coraz większe obszary. Zarówno w wielkich, międzynarodowych firmach jak i w średnich, działających jedynie w obszarze województwa, wdraża się coraz to nowe procedury czy zasady postępowania, dotykające niemal wszystkich obszarów działalności organizacji – również tych, związanych z bezpieczeństwem informacji. Czujemy się więc bezpiecznie – mamy narzuconą z góry procedurę, każdy postępuje zgodnie z jej postanowieniami – wszystko wydaje się być w porządku.

Jednak życie lubi zaskakiwać: bardzo często kontrola GIODO lub Audyt zewnętrzny obnaża procedury, które nie dość, że nie spełniają wymogów formalnych, to jeszcze ich zapisy stoją w sprzeczności z prawem krajowym. Wynika to z kilku czynników, takich jak pisanie jednej procedury obowiązującej w kilku krajach, błędy w tłumaczeniu, słaba współpraca lokalnych Administratorów Bezpieczeństwa Informacji czy też niezbadanie procedury przez osobę odpowiedzialną.

Samo stwierdzenie niezgodności w procedurze zazwyczaj jest początkiem problemu – musimy znaleźć kogoś, kto opracuje zmiany w tekście procedury, dostosuje ją do stanu faktycznego, odpowiednio zmodyfikuje i wdroży ją w życie. Jak wiadomo jest to proces długotrwały, wymaga współpracy wielu osób – w przypadku rozpoczęcia procesu w wyniku negatywnej decyzji GIODO, możemy nie zdążyć z wdrożeniem zmian w terminie 14 dni od dnia wydania decyzji …lub nie mieć możliwości wdrożyć ich w ogóle. Wiele międzynarodowych firm nie dopuszcza dokonywania zmian w globalnych procedurach czy też odstąpienia od ich stosowania. W takiej sytuacji jesteśmy pomiędzy młotem a kowadłem – z jednej strony organ państwowy wymaga od nas dokonania zmian, a z drugiej nie możemy ich dokonać ze względu na zasady firmy. Pamiętajmy o sankcjach – gdy nie dostosujemy się do zaleceń GIODO, możemy nie tylko zostać ukarani grzywną, lecz nawet zostać zobligowani do wstrzymania procesu przetwarzania danych osobowych!

Jak zatem zabezpieczyć się przed wystąpieniem podbramkowej sytuacji? Warto zrobić audyt, który pokaże nam, które procedury są złe, jak warto je zmodyfikować oraz skorzystać z pomocy specjalistów przy opracowaniu nowych zasad. Pozwoli nam to zaoszczędzić sporo nerwów podczas kontroli, a co najważniejsze – zyskamy czas na skuteczne wdrożenie. Pamiętajmy, że GIODO bardzo dużo czasu na wdrożenie zmian nam nie da …