Prawie rok po seminarium: „Zwinny Analityk”, które pobiło rekordy pod względem uczestnictwa – ponad 400 osób, Stowarzyszenie Inżynierii Wymagań postanowiło podjąć kolejne wyzwanie, jakim niewątpliwie jest Rozporządzenie Ochrony Danych Osobowych (RODO). Wyzwanie było tym większe, ponieważ organizowane było po raz pierwszy poza stolicą. Tym razem wybraliśmy Katowice, nie był to jednak przypadek, ale o tym za chwilę….
Mimo niesprzyjającym okolicznościom – dzień po Mikołajkach, wieczór, kręte korytarze prowadzące do sali- uczestnicy zaczęli punktualnie przybywać na miejsce spotkania. Zgodnie z planem spotkanie rozpoczęło się od przywitania gości oraz prezentacji działalności Stowarzyszenia Inżynierii Wymagań, które przedstawiła Prezes- Monika Perendyk. Prezentacja oprócz informacji o dotychczasowych sukcesach Stowarzyszenia, planowanych działaniach w najbliższym czasie, zawierała również podstawy merytoryczne, które ułatwiły słuchaczom zrozumienie jaka jest podstawowa różnica między analizą biznesową a inżynierom wymagań.
Podczas prezentacji została wyjaśniona „tajemnica” wybrania właśnie Katowic, jako miejsca spotkania. Seminarium: „Analityk w starciu z RODO” jest inauguracją nowego projektu Stowarzyszenia Inżynierii Wymagań, jakim jest: „BoomBA – spotkania Analityków”- Katowice.
Będą to cykliczne spotkania nie tylko członków stowarzyszenia, lecz wszystkich tych, którzy zajmują się na co dzień pracą analityka biznesowego czy inżyniera wymagań. Tym samym zostały zaprezentowane osoby, które z ramienia stowarzyszenia będą koordynowały pracami w regionie śląskim:
Celina Cieśla – koordynator regionu śląskiego
Analityk biznesowy – zawodowo, analityk rodzinny- prywatnie, matematyk historycznie.
Rafał Szafruga – członek stowarzyszenia
Business Analyst w Diebold Nixdorf, wcześniej: Analityk obszaru IT w ING Bank Śląski (wdrożenie nowej bankowości Moje ING),Wdrożenia ERP w Comarch
Wojciech Kogutowicz- członek stowarzyszenia
Business Analyst w i-systems
wcześniej:Wdrożenia ERP (XL,Optima) w Comarch,Tester w UIBS Teamwork, konsultant ds.wdrożeń w ramach aplikacji KSI ZUS.
Po krótkiej prezentacji stowarzyszenia rozpoczęliśmy właściwą część spotkania, czyli rozmowy o trudnym temacie, jakim jest niewątpliwie RODO.
W temat RODO wprowadziła nas Pani Anna Buczyńska- Borowy rozpoczynając od podstaw prawnych płynnie przechodząc do ich praktycznego zastosowania. Cała prezentacja opierała się na obalaniu mitów, które niestety funkcjonują w świadomości firm.
Niektóre z nich były prezentowane przez Stowarzyszenie w ramach promowania tematyki RODO.
Podczas wystąpienia dowiedzieliśmy się dlaczego w ogóle temat RODO powinien zainteresować przede wszystkim samych analityków biznesowych, którzy na co dzień pracują z Klientami. Wielu uczestników było zszokowanych tym jak wiele informacji, które obecnie są przetwarzane to dane osobowe.
RODO wprowadza wiele zmian nie tylko w procesach, ale realnie wprowadza ochronę danych osobowych. Każdy kto robi cokolwiek z danymi osobowymi bez przesłanki celowości popełnia przestępstwo i naraża się na bardzo duże kary finansowe.
Pani Anna Buczyńska-Borowy przedstawiła podstawowe definicje, jakie zostały zdefiniowane w ramach rozporządzenia oraz zaprezentowała praktyczne zastosowanie nowych pojęć, które do tej pory nie występowały, takich jak „współadministrowanie”.
Podczas wystąpienia Pani Anny mieliśmy okazję przekonać się jak wygląda analiza ryzyk podczas wdrażania RODO w organizacji, na jakie aspekty głównie organizacje powinny zwrócić uwagę.
Poniżej prezentujemy mity, na które szczególnie Pani Anna zwracała uwagę:
Mit – Działam jako B2B mnie RODO nie dotyczy.
Otóż nie! Nawet osoba fizyczna, jeśli nawet nie ma założonej działalności gospodarczej, lecz czerpie korzyści finansowe wykorzystując czyjeś dane osobowe – podlega rozporządzeniu.
MIT – Na pewno JA nie będę kontrolowany.
Nie tylko urząd będzie kontrolował. Wedle rozporządzenia, każda osoba fizyczna może w każdym momencie poprosić o spełnienie obowiązku informacyjnego lub o uzasadnienie celowości przetwarzania danych osobowych. Każda osoba fizyczna ma aż 18 praw – i może domagać się ich wypełnienia!
Pani Anna opisała ścieżkę postępowania, którą powinna wykonać każda organizacja analizując wewnętrzne procesy biznesowe. Kluczowym jest zrozumienie – że analiza ta powinna być oparta na analizie ryzyka, jakie wiąże się z przetwarzaniem danych osobowych. Taki dokument – szacowania ryzyka i DPIA musi być załączony do opisów funkcjonalności systemów. W czasie projektowania systemów informatycznych należy również uwzględnić zasady opisane w rozporządzeniu.
Najważniejszą, kluczową wśród zasad wg nowego rozporządzenia, wydaje się zasada celowości, determinująca pozostałe zasady, stanowiąca bazę dla innych rozważań, a odpowiadająca na pytanie: „W jakim celu dane osobowe są przechowywane przez daną organizację?”. Należy pamiętać, że każdy każdy cel to osobny zbiór danych osobowych.
Nowością jest zaś zasada czasowości. Wymusza ona zdefiniowanie dokładnego czasu w jakim dane będą przechowywane oraz usunięcie tych danych z systemu po tym określonym czasie.
Zasada merytorycznej poprawności – stanowiła podstawę do rozważań pomysłu udzielenia osobom fizycznym dostępu do systemu, w celu modyfikacji swoich danych – w razie ich zmiany.
Nowa definicja zgody na przetwarzanie danych osobowych wymusza analizę – jakie warunki panowały podczas procesu zbierania danych osobowych SPRZED obowiązywania ustawy. Być może zgody są już nieważne i należy zapytać o nie ponownie?
W każdym momencie przechowywania danych – organizacja musi potrafić się wylegitymować zgodą na przetwarzanie danych (czy to w wersji papierowej, czy też elektronicznej).
Podsumowaniem tego wystąpienia był wniosek, że należy wykorzystać otoczenie biznesowo-prawne by chronić swoją organizację i prawidłowo przygotować się do spełnienia wymogów jakie stawia przed nami RODO. Świetną praktyką byłoby przygotowanie checklisty do każdego punktu rozporządzenia.
Po zakończeniu wystąpienia obserwowaliśmy na twarzach zebranych przerażenie, zszokowanie, zdziwienie, co jest zrozumiałe biorąc pod uwagę liczbę obowiązków jakie spoczywają na organizacji, ale przede wszystkim nieuchronnej odpowiedzialności finansowej.
Kolejne wystąpienie było kontynuacją tematu, lecz widziane od strony obsługi zgłaszania incydentów. Rozwiązanie zaprezentowała firma Polcom Data Center.
Pan Krzysztof Lembas zaprezentował w jaki sposób wdrożyć rozwiązania w firmie jednocześnie nie ponosząc dużych nakładów finansowych. Zwrócił uwagę, że zacząć należy od planowania procesów, analizy tego jak w tym momencie przetwarzane są dane, zdiagnozowania kto aktualnie zajmuje się tym aspektem, wystaczenia osobo odpowiedzialnej. Następnie – wdrożyć ustalenia w życie i ciągle je monitorować.
Zaproponował outsourcingowe podejście i przekazanie roli inspektora ochrony danych osobowych do firmy trzeciej, specjalizującej się w tym oraz wykorzystanie specjalnego dedykowanego oprogramowania wspierającego rolę inspektora. Podczas wystąpienia dowiedzieliśmy się, że wdrożenie rozwiązania zaprezentowane przez firmę Polcom Data Center zajmuje niecały miesiąc i nie wymaga modyfikacji infrastruktury, która jest najbardziej kosztownym rozwiązaniem.
Po zakończonych prezentacjach rozpoczęliśmy panel dyskusyjny, podczas którego uczestnicy mogli zadawać pytania prelegentom. Dyskusja była bardzo ciekawa, ponieważ dotyczyły różnych punktów widzenia, o inne elementy pytali analitycy biznesowi, inne praktyczne zastosowania RODO chcieli poznać obecni na sali administratorzy IT.
Pytań nie było końca, część z nich przeniosła się na networking, który rozpoczął się po losowaniu atrakcyjnych nagród wśród uczestników spotkania.
Ciekawym akcentem spotkania było zaproszenie na ictLive – Międzynarodowe Targi i Kongres IT & Mobile, które będzie pierwszym tak dużym wydarzeniem w Polsce skupiającym wszystkie firmy działające w tym regionie Europy oraz klientów poszukujących rozwiązań IT. ICTLive to 45 tys. odwiedzających, 700-800 wystawców. Partnerem tego wydarzenia jest również Stowarzyszenie Inżynierii Wymagań. Szczegóły tego wydarzenia zostały zaprezentowane przez Pana Artura Koziołka.
Wydarzenie to odbędzie się w dniach 12-14.04.2018 w PTAK Warsaw Expo.
Po oficjalnych wystąpieniach nadszedł czas na networking. Dyskusji nie było końca, co nas niezwykle cieszy, ponieważ cel spotkania został osiągnięty – uświadomienie ludzi o ważności RODO w kontekście działania organizacji w Polsce.
Już dziś zapraszamy do śledzenia naszych kanałów na social-media, odwiedzania naszej strony, aby być na bieżąco z wydarzeniami organizowanymi już nie tylko w Warszawie, ale również na Śląsku.
Materiały z wydarzenia zostały udostępnione dla uczestników wydarzenia.
Stowarzyszenie Inżynierii Wymagań
www.siw.org.pl
https://www.facebook.com/StowarzyszenieInzynieriiWymagan/
Dla uczestników wydarzenia dostępne są materiały z wydarzenia. Uczestnicy wydarzenia otrzymali hasło dostępu drogą e-mail.
Przypominamy również o mitach, które publikowaliśmy jeszcze przed wydarzeniem – podzielcie się ze znajomymi!