2017-05-18

Ryzyko warte oszacowania

Identyfikacja ryzyka,  jakie niesie za sobą przetwarzanie danych osobowych przez firmę, nie jest prosta, składa się z kilku etapów. Przedsiębiorcy powinni jednak ją regularnie przeprowadzać, by móc wdrażać odpowiednie narzędzia zabezpieczajace.  Gdy zacznie obowiązywać europejskie rozporządzenie o ochronie danych osobowych (RODO) wyniki przeprowadzonych analiz ryzyka staną się podstawą do określania, jakie zabezpieczenia będą adekwatne do istniejących zagrożeń i pozwolą uniknać niezgodności z prawem prowadzonych przez firmę procesów.

Ryzykiem określane jest takie działanie przedsiębiorcy (administratora danych), które wraz z upływem czasu może doprowadzić do jego niezgodności z przepisami prawa. Potencjalnym ryzykiem może być obarczony proces, który sam w sobie jeszcze nie stanowi naruszenia przepisów prawa ochrony danych osobowych, jednak w wyniku braku postępowania z tym ryzykiem może on być przyczyną powstania niezgodności. Przykładowo pozyskiwanie danych osobowych potencjalnych klientów bez wymaganej zgody na prowadzenie marketingu bezpośredniego drogą elektroniczną (np. mailing) samo w sobie nie jest jeszcze niezgodnością. Należy jednak zauważyć, że kolejnym krokiem w tym procesie będzie wysyłka niezamówionych informacji handlowych drogą elektroniczną, co już stanowi dużą niezgodnością – wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych osobowych, ODO 24.

Identyfikacja potencjalnych ryzyk wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO – IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa.

Jak wskazuje ekspert ODO 24 przy przeprowadzaniu pierwszego szacowania ryzyka ochrony danych osobowych warto rozważyć zastosowanie metody składającej się z czterech etapów. Szacowanie należy przede wszystkim rozpocząć od identyfikacji kategorii danych i ich wartości (określenia czy dane, które przetwarza firma są tzw. zwykłe czy wrażliwe). Kolejnym krokiem jest zidentyfikowanie istniejących zagrożeń, by ją odpowiednio wykonać musimy wiedzieć, gdzie znajdują się dane i w jakiej formie się one przechowywane - elektronicznej czy papierowej. Trzecim etapem jest określenie następstw zdiagnozowanych niebezpieczeństw – ocena jak utrata określonej kategorii danych w konkretnym procesie wpłynie na całą organizację, np. zatrzymane zostaną krytyczne dla firmy procesy, dojdzie do zerwania umów przez klientów lub kontroli GIODO i konsekwencji z niej wynikających. Warto zaznaczyć, że należy dokonać klasyfikacji zidentyfikowanych ryzyk – czyli określić wysokość ryzyk w stosunku do poszczególnych procesów. Wynikiem całego procesu jest określenie jakie działania wobec ryzyk powinny zostać podjęte przez organizacje, np. jakie zabezpieczenia muszą być zastosowane, by uniknąć negatywnych konsekwencji w stosunku do konkretnej kategorii danych, która znajduje się w określonej lokalizacji – mówi  Konrad Gałaj-Emiliańczyk z ODO 24.

25 maja 2018 r. wraz z rozpoczęciem obowiązywania przepisów RODO każdy przedsiębiorca będzie musiał przeprowadzać ocenę skutków przetwarzania danych osobowych jeszcze przed rozpoczęciem tego procesu. Dlatego warto już teraz  zdobywać doświadczenie w identyfikacji ryzyk przetwarzania danych osobowych, mimo że obecnie obowiązujące przepisy nie nakładają obowiązku szacowania ryzyka.  

Do pobrania

Logo ODO 24

"Jeden człowiek na etacie
może więcej niż zespół ekspertów"

Jesteś tego pewien?

Zoptymalizuj
koszty

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>