LexDigital

Analiza ryzyka zgodnie z RODO

Analiza ryzyka to pojęcie, które jest kluczowe z uwagi na cały system bezpieczeństwa danych osobowych. Ma ona na celu ustalenie, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych oraz dobranie zabezpieczeń, które będą najodpowiedniejsze dla danej organizacji. Ich wdrożenie umożliwi osiągnięcie odpowiedniego poziomu ochrony danych osobowych.

Analiza ryzyka zgodnie z RODO

Szacowanie ryzyka jako podstawa budowy systemu ochrony danych osobowych

Jednym z istotnych elementów, na których opiera się podejście do kwestii związanych z ochroną danych osobowych według Rozporządzenia ogólnego o ochronie danych (RODO) jest analiza ryzyka związana z ich przetwarzaniem. Podejście oparte na szacowaniu ryzyka ma na celu umożliwienie ustalenia, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych przez Administratora Danych Osobowych lub podmiot, który przetwarza dane w imieniu Administratora. Na tej podstawie, po uzyskaniu wyników oceny ryzyka możliwe jest ustalenie, w jaki sposób należy zabezpieczyć dane osobowe aby uzyskać odpowiedni do potencjalnych zagrożeń stopień ochrony.

Jak ocenić ryzyko? Metody analizy ryzyka

Pierwszym elementem niezbędnym do tego aby dokonać analizy ryzyka w organizacji jest ocena tego, jakie aktywa biorą udział w przetwarzaniu danych osobowych. Aktywem organizacji jest każdy element, który ma dla niej wartość. Mogą to być pracownicy, sprzęt ale także procesy biznesowe, klienci czy też mechanizmy działania w ramach organizacji. Część z tych aktywów może być związana z przetwarzaniem danych osobowych. W związku z tym potencjalne zagrożenie dla określonego aktywu (np. kradzież sprzętu) wiąże się z ryzykiem związanym z przetwarzaniem danych osobowych.

Drugim etapem analizy ryzyka, który powinien być przeprowadzony po identyfikacji aktywów, biorących udział w przetwarzaniu danych osobowych, jest stworzenie listy potencjalnych zagrożeń dla przetwarzania danych osobowych, związanych z wykorzystywaniem różnego rodzaju aktywów. Inne zagrożenia bowiem dotyczą przetwarzania danych osobowych w systemach IT, a inne przetwarzania danych za pomocą tradycyjnych dokumentów, analizowanych przez pracowników.

Konieczna analiza ryzyk musi objąć wszystkie źródła ryzyka – zarówno ryzyka płynące z zewnątrz organizacji jak i te, wynikające z jej wnętrza, związane z samym jej funkcjonowaniem. Osobą, która może doprowadzić do naruszenia bezpieczeństwa danych osobowych może być bowiem włamywacz, który wykradnie istotne dokumenty z biura lub haker próbujący włamać się do systemu informatycznego organizacji, ale także pracownik, który nieopatrznie zostawił dokumenty w miejscu publicznym lub zgubił laptopa z zapisanymi na jego dysku danymi osobowymi. Zagrożenia te możemy podzielić na zagrożenia techniczne lub organizacyjne. Techniczne związane są z wykorzystywanym przez nas do przetwarzania danych osobowych sprzętem, a organizacyjne z działaniami ludzi, ich motywacją, przyzwyczajeniami czy też regułami, którymi się kierują. Wreszcie potencjalne ryzyko może obejmować również inne zdarzenia, niezwiązane bezpośrednio z działaniami innych osób, które wpływają na integralność danych osobowych. Może być to np. awaria sprzętu IT, zalanie dokumentów czy pożar. Tego rodzaju okoliczności również są uznawane za potencjalne zagrożenie dla bezpieczeństwa danych osobowych.

Szacowanie ryzyka bezpieczeństwa danych osobowych

Po ustaleniu, jakie aktywa są istotne z punktu widzenia ochrony danych osobowych oraz stwierdzeniu potencjalnych ryzyk dotyczących przetwarzania tych danych należy ustalić, jakie jest prawdopodobieństwo wystąpienia ryzyka, tj. czy istnieje potencjalna możliwość, że w związku z określonym aktywem dojdzie do ziszczenia się któregoś z zagrożeń, co doprowadzi do naruszenia ochrony danych osobowych. Konieczne jest określenie, chociaż w sposób przybliżony, prawdopodobieństwa wystąpienia takiej sytuacji. Istotne jest również stwierdzenie, jakie konsekwencje związane będą z ewentualnym naruszeniem ochrony danych osobowych. W szczególności konieczne jest uwzględnienie tego czy może dojść do naruszenia praw lub wolności osób, których dane dotyczą. Obejmuje to zwłaszcza możliwość poniesienia szkody przez podmioty danych, naruszenie ich dobrego imienia, wizerunku czy też dóbr osobistych.

Przepis artykuł 32 ust. 1 RODO wskazuje, że w toku analizowania ryzyka konieczne jest wzięcie pod uwagę charakteru przetwarzania danych osobowych, czyli tego, jakie operacje przetwarzania danych wykonywane są w organizacji i jakich kategorii danych dotyczą poszczególne operacje na danych. W przypadku przetwarzania danych osobowych obejmujących szczególne kategorie danych (np. informacje o stanie zdrowia, poglądach politycznych, danych biometrycznych) należy wziąć to pod uwagę i ustalić, że potencjalne ryzyko związane z ich wyciekiem lub utratą jest wyższe niż w odniesieniu do zwykłych danych osobowych. Następnie niezbędne jest uwzględnienie zakresu przetwarzania danych osobowych – dotyczy to zwłaszcza tego, ilu osób dotyczą dane Zasadne jest przeanalizowanie także kontekstu przetwarzania danych osobowych czyli wzięcia pod uwagę innych okoliczności prawnych i faktycznych związanych z przetwarzaniem danych. Mogą one obejmować np. środki techniczne wykorzystywane do przetwarzania danych, czas przetwarzania danych czy też podstawę prawną ich zbierania. Ostatnim elementem, który powinien być wzięty pod uwagę jest cel przetwarzania danych osobowych, czyli informacja dlaczego administrator zgromadził dane osobowe i po co dokonuje na tych danych operacji.

Na tej podstawie organizacja, w której szacowane jest ryzyko może ustalić, jakie procesy związane z przetwarzaniem danych osobowych są najbardziej newralgiczne i wskazują na istotną możliwość naruszenia ochrony danych osobowych.

Co po analizie ryzyka? Osiągnięcie bezpieczeństwa informacji

Efektem analizy ryzyka jest możliwość ustalenia, jakie należy wdrożyć środki, które pozwolą na zmniejszenie ustalonego ryzyka, a tym samym – zwiększenie poziomu zabezpieczeń danych osobowych. RODO nie wskazuje przy tym na konkretne zabezpieczenia, które powinny być wdrożone przez Administratora Danych Osobowych, co oznacza, że obowiązek ich wyboru spoczywa właśnie na organizacji, która dokonuje wdrożenia zabezpieczeń. RODO posługuje się przy tym koniecznością wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, aby zapewnić stopień bezpieczeństwa odpowiadający oszacowanemu wcześniej ryzyku. Tym samym podstawą do wdrożenia różnego rodzaju zabezpieczeń danych jest właśnie ocena ryzyka – to ona bowiem wskazuje nam na potencjalne zagrożenia, prawdopodobieństwo ich wystąpienia oraz ewentualne skutki naruszenia ochrony danych osobowych. Dzięki temu jesteśmy w stanie ustalić, które procesy związane z przetwarzaniem danych osobowych wymagają największej uwagi, a tym samym – wdrożenia zabezpieczeń wysokiej jakości.

Przepisy rozporządzenia wskazują, że elementami zabezpieczeń mogą być np. takie środki techniczne, które umożliwiają pseudonimizację lub szyfrowanie danych osobowych. RODO wskazuje także, że w toku dokonywania wdrożeń administrator powinien wziąć pod uwagę stan wiedzy technicznej oraz koszty wdrażania poszczególnych zabezpieczeń. Metody zabezpieczenia danych powinny bowiem odpowiadać aktualnej wiedzy o potencjalnych zagrożeniach i uwzględniać postęp technologiczny. Nie bez znaczenia jest też konieczność uwzględnienia kosztów wdrożenia zabezpieczeń w budżecie danej organizacji. Koszty te nie powinny być nadmierne, tak aby nie uniemożliwić rozwoju organizacji na innych polach działalności.

Proces zarządzania ryzykiem jako metoda na osiągnięcie bezpieczeństwa danych osobowych

Całość opisanych powyżej działań pozwala na minimalizację ryzyka związanego z przetwarzaniem danych osobowych. Analiza ryzyka jest tym elementem zarządzania bezpieczeństwem, który wskazuje na potencjalne zagrożenia i umożliwia wdrożenie odpowiednich technicznych i organizacyjnych zabezpieczeń, które są dostosowane do działalności danej organizacji i umożliwiają zwiększenie poziomu bezpieczeństwa danych. Należy pamiętać, że proces analizy ryzyka powinien być ciągły, co oznacza, że nie jest dopuszczalne oparcie się na jednostkowej analizie. Powinna ona być na bieżąco przeglądana i uaktualniana, tak aby dostosowywać zabezpieczenia do pojawiających się nowych zagrożeń.



Sprawdź również:



Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.