Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Narzędzia  •  Formularz ochrony danych osobowych w fazie projektowania

Ochrona danych osobowych w fazie projektowania - formularz

Projektujesz nowy produkt lub usługę? Tworzysz aplikacje przetwarzające dane osobowe? A może wdrażasz nowy system IT w swojej firmie? Jeżeli tak, to pamiętaj, aby zadbać o ochronę danych osobowych już od pierwszego etapu swojego projektu.

Dzięki naszemu rozwiązaniu nie tylko spełnisz wymagania RODO, ale także będziesz działać zgodnie z Wytycznymi 4/2019 Europejskiej Rady Ochrony Danych (EROD).

dowiedz się więcej Wykonaj analizę

Justyna Pergałowska

Ochrona danych w fazie projektowania oraz domyślna ochrona danych (Data Protection by Design, Data Protection by Default – DPbDD) to mechanizmy, które umożliwiają administratorom wcielenie zasad ochrony danych osobowych oraz realizację praw i wolności osób, których dane dotyczą, już na etapie planowania i projektowania czynności przetwarzania. Dotyczy to każdego aspektu, od ustalania specyfikacji produktów lub usług, przez ich testowanie, utrzymanie, rozwój, aż po usuwanie.


Celem jest zapewnienie ochrony danych od najwcześniejszych etapów rozwoju projektowanego procesu, eliminując konieczność późniejszego dodawania zabezpieczeń. Prywatność powinna być integralną częścią projektowanego produktu lub usługi, a jej ochrona musi trwać przez cały cykl życia systemu, sprzętu, oprogramowania czy procesu – od opracowania koncepcji, przez rozwój, produkcję, eksploatację, konserwację, aż po wycofanie.


Zgodnie z RODO, administratorzy powinni wdrożyć odpowiednie środki techniczne i organizacyjne jeszcze przed rozpoczęciem przetwarzania danych, aby skutecznie realizować zasady ochrony danych oraz nadawać przetwarzaniu niezbędne zabezpieczenia.


Wytyczne 4/2019 EROD dostarczają cennych wskazówek, przekształcając te mechanizmy z ogólnych klauzul w praktyczne narzędzia wspierające administratorów w:
- realizacji zasad przetwarzania danych osobowych (art. 5 RODO),
- ochronie praw osób, których dane dotyczą (art. 12–22 RODO),
- ochronie wolności osób, których dane dotyczą (Karta Praw Podstawowych Unii Europejskiej).


Aby osiągnąć powyższe cele, administratorzy powinni stosować podejście oparte na ryzyku, które jest wspólne dla artykułów 24, 25, 32 i 35 RODO. Należy zidentyfikować zasoby (osoby fizyczne poprzez ochronę ich danych osobowych) i zagrożenia (prawa i wolności osób, których dane dotyczą) oraz uwzględnić istniejące warunki przetwarzania (charakter, zakres, kontekst i cele przetwarzania).


Ochrona danych osobowych powinna być integralną częścią każdego etapu projektowania produktów i usług. Dzięki naszemu narzędziu, które jest w pełni zgodne z wytycznymi 4/2019 EROD, administratorzy mają dostęp do praktycznych rozwiązań pomagających wdrażać skuteczne środki ochrony. Skorzystaj z naszego narzędzia, aby spełnić wymogi RODO, chronić prawa i wolności osób, których dane przetwarzasz, oraz zapewnić bezpieczeństwo danych od samego początku projektowania.

1Analiza formalno-prawna

Opisz planowany proces.
Opisz szczegółowo czynności przetwarzania, które będą realizowane w ramach projektowanego produktu, usługi lub systemu.

Przykład: Projektowany proces obejmuje przetwarzanie danych osobowych użytkowników aplikacji mobilnej w celu personalizacji treści. Dane będą gromadzone podczas rejestracji użytkownika (dane kontaktowe i demograficzne) oraz podczas korzystania z aplikacji (dane dotyczące zachowań użytkowników). Proces obejmuje następujące etapy: gromadzenie danych, przechowywanie w zaszyfrowanej bazie danych, analiza przez zespół analityków, udostępnianie wyników analizy zespołowi marketingowemu, okresowe usuwanie nieaktualnych danych.
Wskaż dane osobowe zwykłe, które będziesz przetwarzał w projektowanym procesie.
Określ, jakie dane osobowe zwykłe będą przetwarzane w ramach projektowanego procesu. Dane osobowe zwykłe to takie informacje, które identyfikują lub mogą identyfikować osobę fizyczną, ale nie należą do kategorii danych szczególnie chronionych (np. danych dotyczących zdrowia, pochodzenia rasowego, poglądów politycznych). Precyzyjne określenie rodzaju danych osobowych pozwala na lepsze zarządzanie ryzykiem oraz zapewnia zgodność z przepisami o ochronie danych osobowych.

Przykład 1: W projekcie rejestracji użytkowników na stronie internetowej będą przetwarzane dane, takie jak imię, nazwisko, adres e-mail, numer telefonu oraz adres zamieszkania.

Przykład 2: W procesie obsługi klientów sklepu internetowego będą przetwarzane dane osobowe, w tym imię, nazwisko, adres dostawy, numer telefonu kontaktowego oraz adres e-mail, niezbędne do realizacji zamówień i obsługi posprzedażowej.

Przykład 3: W projekcie rekrutacji pracowników będą przetwarzane dane osobowe kandydatów, takie jak imię, nazwisko, data urodzenia, adres e-mail, numer telefonu oraz dane zawarte w CV, np. historia zatrudnienia i wykształcenie.
Wskaż dane osobowe szczególnych kategorii, które będziesz przetwarzał w projektowanym procesie.
Określ, jakie dane osobowe szczególnych kategorii będą przetwarzane w ramach projektowanego procesu. Dane osobowe szczególnych kategorii obejmują informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne (do jednoznacznego zidentyfikowania osoby fizycznej), dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie tych danych wymaga szczególnej uwagi i musi być zgodne z dodatkowymi przepisami ochrony danych.

Przykład 1: W projekcie realizacji programu wsparcia dla osób z niepełnosprawnościami będą przetwarzane dane dotyczące zdrowia uczestników, takie jak dokumentacja medyczna i zaświadczenia o stopniu niepełnosprawności, aby dostosować formę i zakres wsparcia do indywidualnych potrzeb.

Przykład 2: W projekcie badania etnograficznego będą zbierane i przetwarzane dane dotyczące pochodzenia rasowego i etnicznego uczestników, aby lepiej zrozumieć różnorodność kulturową i jej wpływ na społeczności lokalne.

Przykład 3: W projekcie usług doradczych dla osób LGBT+ będą przetwarzane dane dotyczące orientacji seksualnej uczestników, aby móc oferować im adekwatne wsparcie i porady dostosowane do ich specyficznych potrzeb.
Wskaż cele, które będziesz realizował w związku z projektowanym procesem.
Wskaż (najlepiej w punktach) wszystkie cele przetwarzania, które zamierzasz realizować w projektowanym procesie (możesz wspomagać się opisem procesu). Określenie precyzyjnych celów przetwarzania danych przed rozpoczęciem właściwych działań umożliwia dokładne zdefiniowanie potrzebnych danych osobowych oraz odpowiednie dostosowanie struktury projektu. Każdy nowy cel musi być spójny z pierwotnym zamiarem i wprowadzać zmiany w projekcie w sposób zgodny z wcześniejszymi założeniami.

Przykład: Firma zajmująca się sprzedażą internetową zamierza wykorzystać dane zakupowe swoich klientów do analizy trendów zakupowych. Przed rozpoczęciem projektu precyzuje, że dane będą używane wyłącznie do wewnętrznych analiz biznesowych. Każde rozszerzenie celów, np. wykorzystanie danych do kampanii marketingowych, jest dokładnie oceniane pod kątem zgodności z pierwotnym celem oraz przepisami o ochronie danych osobowych.
Sprawdź, czy każdy wyodrębniony przez Ciebie cel przetwarzania posiada podstawę prawną do przetwarzania danych osobowych.
Zweryfikuj, czy każdy z celów przetwarzania danych osobowych, które wyodrębniłeś, ma odpowiednią podstawę prawną. Każdy cel musi być zgodny z obowiązującymi przepisami dotyczącymi ochrony danych osobowych oraz opierać się na jednej z legalnych podstaw przetwarzania danych, takich jak zgoda osoby, której dane dotyczą, realizacja umowy, wypełnienie obowiązku prawnego, ochrona żywotnych interesów, wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, czy też uzasadniony interes administratora.

Przykład 1: Firma marketingowa zamierza przetwarzać dane kontaktowe klientów w celu wysyłania newsletterów. Przed rozpoczęciem działań firma sprawdza, czy posiada wyraźną zgodę klientów na wykorzystanie ich danych w tym celu. Jeżeli zgoda została uzyskana, firma ma legalną podstawę do przetwarzania tych danych.

Przykład 2: Przedsiębiorstwo zajmujące się sprzedażą produktów online chce przechowywać dane swoich klientów w celu realizacji zamówień i obsługi posprzedażowej. Firma weryfikuje, że przetwarzanie danych w tym celu jest niezbędne do wykonania umowy, co stanowi legalną podstawę przetwarzania danych osobowych zgodnie z obowiązującymi przepisami.

Przykłady kar za naruszenie tego wymagania:

Przykład 1: Kara w wysokości 10000 zł nałożona na Stołeczny Ośrodek dla Osób Nietrzeźwych, m.in. za przetwarzanie bez podstawy prawnej danych osobowych poprzez nagrywanie i utrwalanie dźwięku (głosu) w zainstalowanym w Ośrodku systemie monitoringu.

Przykład 2: Kara w wysokości 100000 zł nałożona na Głównego Geodetę Kraju, m.in. za udostępnianie na portalu „GEOPORTAL2” bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków.
Sprawdź, w jaki sposób będziesz realizował obowiązek informacyjny w stosunku osób, których dane będziesz przetwarzał.
Zweryfikuj, jak planujesz zrealizować obowiązek informacyjny (art. 13 RODO). Jesteś bowiem zobowiązany poinformować osobę, której dane przetwarza, o swojej tożsamości, celach i sposobach przetwarzania, prawach przysługujących osobom, odbiorcach danych, okresach przechowywania czy ewentualnym transferze danych poza UE/EOG. Informacje te muszą być przekazane w sposób zwięzły, przejrzysty i zrozumiały w momencie pozyskiwania danych.

Przykład 1: Klauzula informacyjna jest udostępniana przed rejestracją lub złożeniem zamówienia. Użytkownik otrzymuje informacje o tożsamości administratora, celach przetwarzania danych, podstawach prawnych, odbiorcach danych oraz prawach przysługujących osobom, których dane są przetwarzane.

Przykład 2: Przekazanie pisemnej informacji w formie papierowej lub elektronicznej podczas zbierania danych osobowych, np. przed podpisaniem umowy lub dokonaniem rejestracji. Dokument zawiera wszystkie wymagane informacje zgodnie z art. 13 RODO.

Przykład 3: Umieszczenie piktogramu informującego o monitoringu wizyjnym na budynku wraz z warstwowym obowiązkiem informacyjnym. Pierwsza warstwa dostarcza podstawowe informacje, natomiast dalsze szczegóły są dostępne w formie papierowej lub elektronicznej.

Przykłady kar za naruszenie tego wymagania:

Kara w wysokości 943470 zł nałożona na Bisnode Polska sp. z.o.o, m.in. za niepodanie informacji zawartych w art. 14 ust. 1 i 2 RODO wszystkim osobom fizycznym, których dane osobowe X. Sp. z o. o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności.
Oceń, czy dane osobowe będą przetwarzane z zachowaniem zasady minimalizacji.
Ustal, czy przetwarzasz wyłącznie niezbędne, adekwatne i odpowiednie do danego procesu dane osobowe. Oznacza to ograniczenie liczby zbieranych informacji do minimum oraz przetwarzanie danych osobowych tylko wtedy, gdy jest to absolutnie konieczne i nie można osiągnąć celu w inny sposób.

Przykład 1: Księgarnia planuje zwiększyć zyski ze sprzedaży online, tworząc dwa różne formularze zamówień: jeden z polem na adres klienta do wysyłki książek fizycznych, oraz drugi bez pola na adres, do zamawiania e-booków. Dzięki temu zbiera tylko te dane, które są niezbędne do realizacji zamówienia.

Przykład 2: Firma kurierska chce ocenić efektywność dostaw, harmonogram pracy oraz zużycie paliwa. Jednak, aby zminimalizować ryzyko związane z monitorowaniem pracowników i preferencji klientów, firma decyduje się na pseudonimizację danych pracowników i klientów. Dzięki temu cele analizy mogą być osiągnięte bez przetwarzania danych osobowych w sposób umożliwiający bezpośrednią identyfikację osób.

Przykłady kar za naruszenie tego wymagania:

W 2020 roku H&M otrzymało grzywnę w wysokości 35,3 miliona euro nałożoną przez niemieckiego komisarza ds. ochrony danych i wolności informacji w Hamburgu (HmbBfDI) za zbieranie nadmiernych i niepotrzebnych informacji o pracownikach. H&M monitorowało i rejestrowało szczegółowe informacje dotyczące prywatnego życia pracowników, w tym szczegóły dotyczące chorób, religii i rodzin, co stanowiło naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO), która wymaga, aby dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z celami, dla których są przetwarzane.
Oceń, jak długo będą przetwarzane dane.
Dane osobowe możesz przechowywać tylko przez okres niezbędny do realizacji celów przetwarzania. Powinieneś wdrożyć procedury usuwania lub anonimizacji danych oraz wyznaczyć osobę odpowiedzialną za monitorowanie i rzeczywiste usuwanie danych. Okres przechowywania danych musi być uzasadniony w kontekście celu przetwarzania i oparty na odpowiedniej podstawie prawnej.

Przykład: Celem przetwarzania jest zarządzanie członkostwem osób, których dane dotyczą. Po zakończeniu członkostwa dane osobowe są usuwane, ponieważ brak jest podstawy prawnej do ich dalszego przechowywania. Administrator posiada procedurę usuwania danych oraz wdraża automatyczny system do ich usuwania.

Przykłady kar za naruszenie tego wymagania:

W grudniu 2019 roku, niemiecki organ nadzorczy ds. ochrony danych (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI) nałożył karę w wysokości 9,55 miliona euro na spółkę 1&1 Telecom GmbH. Kara ta została nałożona za naruszenie zasady retencji danych, ponieważ spółka przechowywała dane klientów przez okres dłuższy, niż to było konieczne do celów, dla których te dane zostały zebrane .
Oceń, czy dane są prawidłowe i w razie potrzeby uaktualniane.
Przed rozpoczęciem przetwarzania danych osobowych zweryfikuj źródła danych oraz potwierdzić ich poprawność poprzez odpowiednie rozwiązania technologiczne i organizacyjne, aby skorygować ewentualne błędy.

Przykład 1: Firma ubezpieczeniowa planuje wykorzystać sztuczną inteligencję (AI) do oceny ryzyka ubezpieczeniowego. Przed wdrożeniem systemu firma dokładnie sprawdza wiarygodność AI i dba o to, aby wyniki były niedyskryminujące. Decyzje nie są podejmowane wyłącznie na podstawie AI, chyba że proces jest w pełni zautomatyzowany i zgodny z przepisami prawa.

Przykład 2: Instytucja zdrowia publicznego, dbając o integralność danych osobowych w rejestrach pacjentów, stosuje techniki haszowania oraz kryptograficzne znaczniki czasu. Te technologie umożliwiają śledzenie zmian w danych, co pozwala na identyfikację, powiązanie i monitorowanie wszelkich modyfikacji w razie potrzeby.
Ustal, czy jesteś gotowy do realizowania praw osób, których dane dotyczą.
Sprawdź, czy posiadasz procedurę dotyczącą realizacji praw osób, których dane są przetwarzane. Taki dokument wyjaśnia, jak postępować wobec żądań zgłaszanych przez te osoby i jak realizować ich prawa określone w artykułach 15–22 RODO, takie jak prawo do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu oraz braku decyzji opartych na zautomatyzowanym przetwarzaniu.

Osoby, których dane są przetwarzane, mogą zwrócić się do Ciebie z wnioskiem o realizację swoich praw. W każdym przypadku musisz ocenić intencje wnioskodawcy, uwzględniając konkretne okoliczności.

Przykład: Prośba osoby, której dane dotyczą, o usunięcie jej danych osobowych przetwarzanych przez sklep internetowy.

Przykłady kar za naruszenie tego wymagania:

Kara w wysokości 2.015.595 zł nałożona na ClickQuickNow sp. z o.o., m.in. za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym).

Oceń, na jakich zasadach współpracujesz z podmiotami przetwarzającymi.
W projektowanym procesie możesz przekazywać podmiotom przetwarzającym część lub wszystkie operacje związane z danymi osobowymi, takie jak przechowywanie, analizowanie czy działania marketingowe. Wymaga to zawarcia umowy powierzenia przetwarzania, która określa warunki i zakres przetwarzania danych oraz gwarantuje odpowiednią ochronę danych osobowych.

Przykład: Firmy outsourcingowe zajmujące się obsługą klientów lub usługami IT, biura księgowe lub firmy audytorskie, które mogą przetwarzać dane finansowe klientów, call center

Przykłady kar za naruszenie tego wymagania:

Przykład 1: Kara w wysokości 4911732 zł nałożona na Fortum Marketing and Sales Polska S.A., m.in. za brak weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi zawarte w RODO i chroniło prawa osób, których dane dotyczą.

Przykład 2: Kara w wysokości 100000 zł nałożona na Krajową Szkołę Sądownictwa i Prokuratury, m.in. za powierzenie przetwarzania danych osobowych e. Sp. z o.o., z naruszeniem art. 28 ust. 3 RODO, tj. bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju.

Przykład 3: Kara w wysokości 33012 zł nałożona na K.P. prowadzącą działalność pod firmą „(…)” w S, m.in. za zawarcie umowy z podmiotem przetwarzającym, która nie zawierała wszystkich elementów określonych w art. 28 ust 3 RODO.

Przykład 4: Kara w wysokości 155628 zł nałożona na Wspólnotę Mieszkaniową „(…)” w S, m.in. za powierzenie przez wspólnotę przetwarzania danych osobowych jej członków bez zawarcia pisemnej umowy powierzenia przetwarzania tych danych oraz bez przeprowadzenia weryfikacji podmiotu przetwarzającego.
Ustal, czy dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej.
Oceń, czy w planowanym procesie przewidziane jest przekazywanie danych osobowych do krajów trzecich lub organizacji międzynarodowych. Powinieneś zapewnić ochronę danych, niezależnie od ich lokalizacji przetwarzania, aby zapobiec potencjalnym zagrożeniom dla prywatności i bezpieczeństwa. Przekazanie danych do krajów trzecich lub organizacji międzynarodowych jest dopuszczalne tylko przy spełnieniu warunków RODO, w tym dotyczących dalszego przekazywania danych.

Przykład 1: Przekazywanie danych osobowych do firm zlokalizowanych poza granicami UE w celu obsługi usług chmurowych lub hostingu danych.

Przykład 2: Udostępnianie danych osobowych partnerom biznesowym lub dostawcom usług z siedzibą poza EOG, którzy wspierają działania marketingowe lub obsługę klienta.

Przykład 3: Przesyłanie danych osobowych do oddziałów, filii lub przedstawicielstw firm spoza EOG w celach zarządzania personelem lub wewnętrznej komunikacji.

2Identyfikowanie zagrożeń

Zagrożenie?
Źródło?
Wybierz odpowiedź
Wewnętrzne Mieszane Zewnętrzne
Wybierz odpowiedź
Wewnętrzne Mieszane Zewnętrzne
Wybierz odpowiedź
Wewnętrzne Mieszane Zewnętrzne
Wybierz odpowiedź
Wewnętrzne Mieszane Zewnętrzne
Wybierz odpowiedź
Wewnętrzne Mieszane Zewnętrzne

3Identyfikowanie zabezpieczeń

Zabezpieczenia techniczne
Opisz, jakie techniczne środki ochrony danych stosujesz (np. szyfrowanie danych, mechanizm 2FA, kopie zapasowe, monitoring wizyjny, system antywirusowy).
Opis zabezpieczeń organizacyjnych
Opisz, jakie organizacyjne środki ochrony danych stosujesz (np. szkolenie personelu, upoważnienie do przetwarzania danych, stosowne polityki i procedury przetwarzania danych, zapisy umowne).

4Identyfikowanie podatności

Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 1
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 2
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 3
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 4
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 5
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.

5Szacowanie ryzyka

LEGENDA

W oparciu o poniższą legendę oszacuj prawdopodobieństwo zagrożenia:

(1) niskie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania nie wydaje się możliwe dla wybranych źródeł ryzyka;

(2) średnie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się trudne dla wybranych źródeł ryzyka;

(3) wysokie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się możliwe dla wybranych źródeł ryzyka;

(4) bardzo wysokie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.

W oparciu o poniższą legendę oszacuj skutki zagrożenia dla praw i wolności osób których dane dotyczą:

(1) niskie skutki – osoby, których dane dotyczą, nie zostaną dotknięte skutkami naruszenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.);

(2) średnie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.);

(3) wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.);

(4) bardzo wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).

Zagrożenie?
Prawdopodobieństwo
Skutki
Ryzyko
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie

6Planowany sposób reakcji na ryzyko

Wskaż, w jaki sposób zamierzasz postępować ze zidentyfikowanym ryzykiem

Zagrożenie?
Ryzyko
Sposób postępowania z ryzykiem
Rekomendacje
Brak danych
Niskie
Wybierz sposób po...
Akceptacja Obniżanie (wdrażanie dodatkowych zabezpieczeń) Transfer (outsourcing zasobu i przeniesienie zarządzania ryzykiem na inny podmiot) Unikanie (rezygnacja z wykorzystania zasobu)
Brak danych
Niskie
Wybierz sposób po...
Akceptacja Obniżanie (wdrażanie dodatkowych zabezpieczeń) Transfer (outsourcing zasobu i przeniesienie zarządzania ryzykiem na inny podmiot) Unikanie (rezygnacja z wykorzystania zasobu)
Brak danych
Niskie
Wybierz sposób po...
Akceptacja Obniżanie (wdrażanie dodatkowych zabezpieczeń) Transfer (outsourcing zasobu i przeniesienie zarządzania ryzykiem na inny podmiot) Unikanie (rezygnacja z wykorzystania zasobu)
Brak danych
Niskie
Wybierz sposób po...
Akceptacja Obniżanie (wdrażanie dodatkowych zabezpieczeń) Transfer (outsourcing zasobu i przeniesienie zarządzania ryzykiem na inny podmiot) Unikanie (rezygnacja z wykorzystania zasobu)
Brak danych
Niskie
Wybierz sposób po...
Akceptacja Obniżanie (wdrażanie dodatkowych zabezpieczeń) Transfer (outsourcing zasobu i przeniesienie zarządzania ryzykiem na inny podmiot) Unikanie (rezygnacja z wykorzystania zasobu)

Zastrzeżenie

Aby uzyskać miarodajny wynik ochrony danych osobowych w fazie projektowania należy wypełnić wszystkie pola formularza. Każdy aspekt dotyczący zgodności oraz bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 25 RODO. Z tego względu niniejszy formularz może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z formularza na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z formularza, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.


Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").

Zamknij
Szukaj w ODO24.pl

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).