Szacowanie ryzyka zgodnie z RODO cz. 1

Zapraszam Państwa do cyklu artykułów, w których będę poruszał tematykę ryzyka przetwarzania danych osobowych dla podstawowych praw i wolności. Jak wynika z ogólnego rozporządzenia (RODO) większość organizacji będzie zobowiązanych do szacowania ryzyka przetwarzania danych oraz wykonywania oceny skutków ich przetwarzania. Proces szacowania jest złożony ale postaram się Państwu go przybliżyć w kolejnych tygodniach.

blog-112

Zaktualizowana treść artykułu:
Szacowanie ryzyka zgodnie z RODO

Każda organizacja przetwarzająca dane narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Stan ten nazywany jest „Ryzykiem”, gdyż jest możliwość niezrealizowania założeń organizacji w wyniku zajścia określonych zdarzeń. Zasadniczo ryzyko można podzielić na biznesowe (lub dla niektórych podmiotów- ryzyko działalności statutowej), które jest kategorią rozpoznaną już dawno, oraz operacyjne, które wyodrębniono pod koniec XX w. Ryzyko biznesowe to możliwość poniesienia strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów biznesowych albo w wyniku niesprawności lub niespójności systemu społeczno-gospodarczego państwa. Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania procesu, ludzi i systemów albo wpływu zagrożeń zewnętrznych. Ryzyko operacyjne obejmuje także ryzyko niewypełniania obowiązków prawnych w działalności bieżącej, co zostanie dalej omówione, na podstawie ogłoszonego Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) (RODO).

Wymóg czy dobra praktyka?

Ogólne rozporządzenie o ochronie danych zarówno w preambule jak w samej treści właściwej wielokrotnie porusza aspekt ryzyka związanego z przetwarzaniem danych osobowych, wskazując tym samym wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem. Zarzadzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane. Wymóg prowadzenia takiego procesu został wskazany między innymi w Artykule 24 „Obowiązki administratora” Rozporządzenia.

Pojęcie i cele ryzyka

W literaturze spotyka się różne definicje pojęcia ryzyka. Najbardziej trafnym wydaje się być definicja w rozumieniu IIA (ang. The Institute of Internal Auditors (IIA) o treści „Możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia”. Rozporządzenie w Artykule 32 definiuje cele w zakresie bezpieczeństwa przetwarzania i są to:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W związku z powyższym ryzyko w przetwarzaniu danych jest związane z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność (np. niezabezpieczony hasłem sprzęt komputerowy), powodując w ten sposób szkodę dla organizacji (np. kradzież lub upublicznienie informacji). Dobrze przeprowadzona analiza ryzyka jest punktem wyjścia dla przeprowadzenia profesjonalnej oceny skutków dla ochrony danych (DPIA).

 

Czytaj także:

-
4.63/5 (49) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>