LexDigital

Analiza ryzyka zgodnie z RODO

Analiza ryzyka to pojęcie, które jest kluczowe z uwagi na cały system bezpieczeństwa danych osobowych. Ma ona na celu ustalenie, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych oraz dobranie zabezpieczeń, które będą najodpowiedniejsze dla danej organizacji. Ich wdrożenie umożliwi osiągnięcie odpowiedniego poziomu ochrony danych osobowych.

Analiza ryzyka zgodnie z RODO

Szacowanie ryzyka jako podstawa budowy systemu ochrony danych osobowych

Jednym z istotnych elementów, na których opiera się podejście do kwestii związanych z ochroną danych osobowych według Rozporządzenia ogólnego o ochronie danych (RODO) jest analiza ryzyka związana z ich przetwarzaniem. Podejście oparte na szacowaniu ryzyka ma na celu umożliwienie ustalenia, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych przez Administratora Danych Osobowych lub podmiot, który przetwarza dane w imieniu Administratora. Na tej podstawie, po uzyskaniu wyników oceny ryzyka możliwe jest ustalenie, w jaki sposób należy zabezpieczyć dane osobowe aby uzyskać odpowiedni do potencjalnych zagrożeń stopień ochrony.

Jak ocenić ryzyko? Metody analizy ryzyka

Pierwszym elementem niezbędnym do tego aby dokonać analizy ryzyka w organizacji jest ocena tego, jakie aktywa biorą udział w przetwarzaniu danych osobowych. Aktywem organizacji jest każdy element, który ma dla niej wartość. Mogą to być pracownicy, sprzęt ale także procesy biznesowe, klienci czy też mechanizmy działania w ramach organizacji. Część z tych aktywów może być związana z przetwarzaniem danych osobowych. W związku z tym potencjalne zagrożenie dla określonego aktywu (np. kradzież sprzętu) wiąże się z ryzykiem związanym z przetwarzaniem danych osobowych.

Drugim etapem analizy ryzyka, który powinien być przeprowadzony po identyfikacji aktywów, biorących udział w przetwarzaniu danych osobowych, jest stworzenie listy potencjalnych zagrożeń dla przetwarzania danych osobowych, związanych z wykorzystywaniem różnego rodzaju aktywów. Inne zagrożenia bowiem dotyczą przetwarzania danych osobowych w systemach IT, a inne przetwarzania danych za pomocą tradycyjnych dokumentów, analizowanych przez pracowników.

Konieczna analiza ryzyk musi objąć wszystkie źródła ryzyka – zarówno ryzyka płynące z zewnątrz organizacji jak i te, wynikające z jej wnętrza, związane z samym jej funkcjonowaniem. Osobą, która może doprowadzić do naruszenia bezpieczeństwa danych osobowych może być bowiem włamywacz, który wykradnie istotne dokumenty z biura lub haker próbujący włamać się do systemu informatycznego organizacji, ale także pracownik, który nieopatrznie zostawił dokumenty w miejscu publicznym lub zgubił laptopa z zapisanymi na jego dysku danymi osobowymi. Zagrożenia te możemy podzielić na zagrożenia techniczne lub organizacyjne. Techniczne związane są z wykorzystywanym przez nas do przetwarzania danych osobowych sprzętem, a organizacyjne z działaniami ludzi, ich motywacją, przyzwyczajeniami czy też regułami, którymi się kierują. Wreszcie potencjalne ryzyko może obejmować również inne zdarzenia, niezwiązane bezpośrednio z działaniami innych osób, które wpływają na integralność danych osobowych. Może być to np. awaria sprzętu IT, zalanie dokumentów czy pożar. Tego rodzaju okoliczności również są uznawane za potencjalne zagrożenie dla bezpieczeństwa danych osobowych.

Szacowanie ryzyka bezpieczeństwa danych osobowych

Po ustaleniu, jakie aktywa są istotne z punktu widzenia ochrony danych osobowych oraz stwierdzeniu potencjalnych ryzyk dotyczących przetwarzania tych danych należy ustalić, jakie jest prawdopodobieństwo wystąpienia ryzyka, tj. czy istnieje potencjalna możliwość, że w związku z określonym aktywem dojdzie do ziszczenia się któregoś z zagrożeń, co doprowadzi do naruszenia ochrony danych osobowych. Konieczne jest określenie, chociaż w sposób przybliżony, prawdopodobieństwa wystąpienia takiej sytuacji. Istotne jest również stwierdzenie, jakie konsekwencje związane będą z ewentualnym naruszeniem ochrony danych osobowych. W szczególności konieczne jest uwzględnienie tego czy może dojść do naruszenia praw lub wolności osób, których dane dotyczą. Obejmuje to zwłaszcza możliwość poniesienia szkody przez podmioty danych, naruszenie ich dobrego imienia, wizerunku czy też dóbr osobistych.

Przepis artykuł 32 ust. 1 RODO wskazuje, że w toku analizowania ryzyka konieczne jest wzięcie pod uwagę charakteru przetwarzania danych osobowych, czyli tego, jakie operacje przetwarzania danych wykonywane są w organizacji i jakich kategorii danych dotyczą poszczególne operacje na danych. W przypadku przetwarzania danych osobowych obejmujących szczególne kategorie danych (np. informacje o stanie zdrowia, poglądach politycznych, danych biometrycznych) należy wziąć to pod uwagę i ustalić, że potencjalne ryzyko związane z ich wyciekiem lub utratą jest wyższe niż w odniesieniu do zwykłych danych osobowych. Następnie niezbędne jest uwzględnienie zakresu przetwarzania danych osobowych – dotyczy to zwłaszcza tego, ilu osób dotyczą dane Zasadne jest przeanalizowanie także kontekstu przetwarzania danych osobowych czyli wzięcia pod uwagę innych okoliczności prawnych i faktycznych związanych z przetwarzaniem danych. Mogą one obejmować np. środki techniczne wykorzystywane do przetwarzania danych, czas przetwarzania danych czy też podstawę prawną ich zbierania. Ostatnim elementem, który powinien być wzięty pod uwagę jest cel przetwarzania danych osobowych, czyli informacja dlaczego administrator zgromadził dane osobowe i po co dokonuje na tych danych operacji.

Na tej podstawie organizacja, w której szacowane jest ryzyko może ustalić, jakie procesy związane z przetwarzaniem danych osobowych są najbardziej newralgiczne i wskazują na istotną możliwość naruszenia ochrony danych osobowych.

Co po analizie ryzyka? Osiągnięcie bezpieczeństwa informacji

Efektem analizy ryzyka jest możliwość ustalenia, jakie należy wdrożyć środki, które pozwolą na zmniejszenie ustalonego ryzyka, a tym samym – zwiększenie poziomu zabezpieczeń danych osobowych. RODO nie wskazuje przy tym na konkretne zabezpieczenia, które powinny być wdrożone przez Administratora Danych Osobowych, co oznacza, że obowiązek ich wyboru spoczywa właśnie na organizacji, która dokonuje wdrożenia zabezpieczeń. RODO posługuje się przy tym koniecznością wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, aby zapewnić stopień bezpieczeństwa odpowiadający oszacowanemu wcześniej ryzyku. Tym samym podstawą do wdrożenia różnego rodzaju zabezpieczeń danych jest właśnie ocena ryzyka – to ona bowiem wskazuje nam na potencjalne zagrożenia, prawdopodobieństwo ich wystąpienia oraz ewentualne skutki naruszenia ochrony danych osobowych. Dzięki temu jesteśmy w stanie ustalić, które procesy związane z przetwarzaniem danych osobowych wymagają największej uwagi, a tym samym – wdrożenia zabezpieczeń wysokiej jakości.

Przepisy rozporządzenia wskazują, że elementami zabezpieczeń mogą być np. takie środki techniczne, które umożliwiają pseudonimizację lub szyfrowanie danych osobowych. RODO wskazuje także, że w toku dokonywania wdrożeń administrator powinien wziąć pod uwagę stan wiedzy technicznej oraz koszty wdrażania poszczególnych zabezpieczeń. Metody zabezpieczenia danych powinny bowiem odpowiadać aktualnej wiedzy o potencjalnych zagrożeniach i uwzględniać postęp technologiczny. Nie bez znaczenia jest też konieczność uwzględnienia kosztów wdrożenia zabezpieczeń w budżecie danej organizacji. Koszty te nie powinny być nadmierne, tak aby nie uniemożliwić rozwoju organizacji na innych polach działalności.

Proces zarządzania ryzykiem jako metoda na osiągnięcie bezpieczeństwa danych osobowych

Całość opisanych powyżej działań pozwala na minimalizację ryzyka związanego z przetwarzaniem danych osobowych. Analiza ryzyka jest tym elementem zarządzania bezpieczeństwem, który wskazuje na potencjalne zagrożenia i umożliwia wdrożenie odpowiednich technicznych i organizacyjnych zabezpieczeń, które są dostosowane do działalności danej organizacji i umożliwiają zwiększenie poziomu bezpieczeństwa danych. Należy pamiętać, że proces analizy ryzyka powinien być ciągły, co oznacza, że nie jest dopuszczalne oparcie się na jednostkowej analizie. Powinna ona być na bieżąco przeglądana i uaktualniana, tak aby dostosowywać zabezpieczenia do pojawiających się nowych zagrożeń.



Sprawdź również:



Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.