Kalkulator analizy ryzyka

Kalkulator analizy ryzyka dla zasobów
przetwarzających dane osobowe

Sprawdź, jaki poziom ryzyka wiąże się z przetwarzaniem danych osobowych przez wybrany zasób i ustal, w jaki sposób na to ryzyko zareagować.

Wdrożenie RODO od strony formalnoprawnej oznacza m.in. prawidłowe klauzule zgód, rejestry i postanowienia umowne. Cały ten wysiłek może pójść na marne, jeśli dane zostaną utracone, zmodyfikowane lub ujawnione nieuprawnionym osobom. Tego rodzaju incydenty powstają na zasobach, czego przykładem jest zgubienie laptopa, zniszczenie dokumentów, awaria serwera czy atak na stronę internetową.

Niezależnie, czy jesteś administratorem, czy podmiotem przetwarzającym, art. 32 RODO wymaga, abyś zapewnił bezpieczeństwo przetwarzanych danych osobowych – w stopniu odpowiadającym ryzyku naruszenia praw lub wolności osób fizycznych. RODO nie wskazuje szczegółowej metody analizy ryzyka (o niej dowiesz się w naszym artykule "Analiza ryzyka dla zasobów przetwarzających dane osobowe").

Przykład uzupełnienia

Dla ułatwienia przeprowadzenia analizy ryzyka, przedstawiamy poniżej narzędzie, dzięki któremu krok po kroku dokonasz takiej ewaluacji dla pojedynczego typu zasobu. Stanowi ono cenną wskazówkę dla osób, które chcą zapewnić bezpieczeństwo danych osobowych, jednak nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą wywiązać się z nałożonych unijnym aktem obowiązków.
Uwaga: niniejszy materiał dotyczy bezpieczeństwa przetwarzania danych osobowych za pomocą danego zasobu. Ocena ryzyka występuje także dla procesów przetwarzania danych (na proces składa się wszystko, co dzieje się z danymi osobowymi w jednym konkretnym celu – od momentu ich pozyskania do usunięcia, np. proces rekrutacji): narzędzie udostępniamy w artykule "Ocena skutków dla ochrony danych (DPIA)". Analiz należy dokonać równolegle.

Dokonaj analizy ryzyka dla zasobu

1Analizowane zasoby

Wybieramy zasób, który będzie podlegał analizie.

Grupa zasobów ?

Dla ułatwienia prowadzenia analizy zalecamy wytypowanie grup zasobów, które ułatwią identyfikację samych zasobów. Podział może być wykonany według przyjętych przez Ciebie kryteriów, my proponujemy nazwy grup zasobów zapożyczone z normy ISO/IEC 27005, np. systemy operacyjne i aplikacje; dokumenty w wersji papierowej.

Nazwa zasobu ?

Wskaż, jaki typ zasobu będziesz analizować: czy będą to np. wszystkie laptopy, czy też oddzielnie przeanalizujesz laptopy pracowników mobilnych i biurowych. Zalecamy oddzielną analizę ryzyka wszędzie tam, gdzie spodziewasz się różnych wyników (np. laptopy wykorzystywane przez zarząd, managerów średniego szczebla, pracowników biurowych, itp.).

Wartość zasobu ?

Czy zasób przetwarza dane, w przypadku których naruszenie może spowodować szkodę dla osób, których dane dotyczą? Przykłady szkód to kradzież tożsamości, szkoda finansowa, szkoda wizerunkowa, dyskryminacja.

2Identyfikowanie zabezpieczeń

Opisujemy, w jaki sposób zabezpieczono zasób.

Opis zabezpieczeń technicznych ?

Opisz, jakie techniczne środki mają zwiększyć poziom bezpieczeństwa danych, np. szyfrowanie, dwuetapowa weryfikacja, zasilanie awaryjne, alarm kopia zapasowa, ochrona przed szkodliwym oprogramowaniem, stosowanie zamków, monitoring wizyjny, rejestrowanie zdarzeń. Później ocenisz ich skuteczność.

Opis zabezpieczeń organizacyjnych ?

Opisz, jakie organizacyjne środki mają zwiększyć poziom bezpieczeństwa danych, np. przeszkolenie, wdrożenie norm ISO, wdrożenie polityki czystego biurka i ekranu, procedury kontroli dostępu, inne procedury bezpieczeństwa, odpowiedzialność pracowników, ubezpieczenie, gwarancja, postanowienia umowy. Później ocenisz ich skuteczność.

3Prawdopodobieństwo wystąpienia zagrożeń

Oceń, na ile realne jest wystąpienie incydentu.

Przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych ?

Np. pożar, zalanie, awaria lub przeciążenie systemu/ urządzenia, utrata dostawy energii.

Przypadkowa lub niezgodna z prawem modyfikacja danych ?

Np. błąd systemu, błąd użytkownika, błąd administratora systemów, nieautoryzowana zmiana danych.

Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych ?

Np. podsłuch, kradzież, szpiegostwo, manipulacja, włamanie.

4Ocena efektywności zabezpieczeń

Oceń, czy zastosowane zabezpieczenia skutecznie zmniejszają prawdopodobieństwo naruszeń.

Efektywność zabezpieczeń technicznych ?

Oceń, czy opisane techniczne środki skutecznie chronią przed zagrożeniami.

Efektywność zabezpieczeń organizacyjnych ?

Oceń, czy opisane organizacyjne środki skutecznie chronią przed zagrożeniami.

5Identyfikowanie podatności

Zapisz obserwacje na temat słabych punktów analizowanego zasobu.

Opis podatności ?

Wskaż luki, uchybienia i inne czynniki, przez które zagrożenia mogą się zmaterializować, np. widoczne dla gości ustawienie monitorów; brak stosowania zasad czystego biurka i ekranu; brak szyfrowania; zbyt duża ilość osób uprawnionych do dostępu; brak kopii zapasowych; brak świadomości personelu brak gwarancji; brak niezbędnych umów; brak odpowiednich procedur i zapewnienia ich stosowania. Na podstawie tego opisu będziesz mógł przygotować rekomendacje.

6Identyfikowanie skutków

Określamy skutki naruszenia dla funkcjonowania organizacji (skutki dla osób fizycznych ocenisz w ramach DPIA).

Oddziaływanie możliwych następstw na ciągłość procesów przetwarzania danych osobowych. ?

Oceń, na ile wystąpienie naruszenia wpłynęłoby na funkcjonowanie organizacji, np. czasowe zablokowanie możliwości świadczenia usług, do których niezbędny jest dany zasób.

7Postępowanie z ryzykiem (nie dotyczy niskiego ryzyka)

Zaplanuj działania mające zaradzić zidentyfikowanemu ryzyku.

Sugerowany rodzaj reakcji na ryzyko ?

W razie wysokiego ryzyka, przed rozpoczęciem przetwarzania należy je zminimalizować.

Rekomendacje ?

Przy sporządzaniu rekomendacji należy przede wszystkim uwzględnić opis podatności i wskazać, jak wyeliminować luki bezpieczeństwa, np. należy zapewnić stosowanie polityki czystego biurka i ekranu; należy zastosować szyfrowanie; zaleca się przeprowadzić szkolenia personelu.

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 24 i 32 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

Wsparcie

Wspieramy w zakresie naruszeń ochrony danych, w tym klasyfikowaniu zdarzeń jako wymagających powiadomienia Prezesa Urzędu Ochrony Danych Osobowych i osób, których dane dotyczą.

Poziom ryzyka

Biuletyn
ODO 24

Dzięki subskrypcji naszego biuletynu otrzymasz bezpłatny poradnik RODO (pobierz fragment) oraz stały dostęp do najważniejszych informacji ze świata ochrony danych osobowych, nowości, promocji i gratisów naszej ofercie.

Zobacz
poprzednie wydania.

Blog ODO 24

Problemy z mierzeniem temperatury czy kamery termowizyjne to dobry pomysł?

Jak bumerang wraca zatem temat mierzenia temperatury. Po pracownikach przychodzi kolej na podróżujących,... więcej

Aktywność UODO podczas epidemii - czego możemy się nauczyć na podstawie ostatnich naruszeń?

Tylko w dniach od 27 kwietnia do 8 maja tego roku Urząd Ochrony Danych Osobowych opublikował aż 4 informacje... więcej

Numery rejestracyjne takimi samymi danymi osobowymi jak numer PESEL?

Do grona kontrowersyjnych interpretacji Prezesa Urzędu Ochrony Danych Osobowych dołączyła kolejna, zgodnie z... więcej

Wyzwania związane z anonimizacją danych osobowych w czasie epidemii

W czasach stanu epidemii obowiązującego w naszym kraju trwają bardzo intensywne prace legislacyjnej. W... więcej

Wytyczne EROD dotyczące przetwarzania danych osobowych w kontekście połączonych pojazdów i aplikacji związanych z mobilnością

W otaczającej nas rzeczywistości samochód nie jest już wyłącznie pojazdem przewożącym pasażerów z punktu A do... więcej

Aplikacja „Kwarantanna domowa”- funkcjonalności, regulamin i przetwarzanie danych osobowych

Wszystkie osoby objęte kwarantanną domową w związku z podejrzeniem zakażenia koronawirusem mają obowiązek... więcej

Analiza ryzyka dla pracy zdalnej

Prewencyjne działania podjęte przez władze w celu zapobiegania rozprzestrzenianiu się koronawirusa sprawiły,... więcej

Dokąd pan idzie? – czy pytania o cel naszej podróży naruszają prywatność

W ostatnim czasie gdy siedzimy w domach, możemy zza okna usłyszeć nadawane regularnie z pojazdów policyjnych... więcej

Zatrudnienie w dobie koronawirusa

W związku z ogłoszonym stanem epidemii większość lokali usługowych zamknięto do odwołania, podobnie jak... więcej

Umowa powierzenia przetwarzania danych osobowych zgodna z RODO (aktualizacja)

Dynamicznie rozwijający się outsourcing usług związanych z prowadzeniem działalności gospodarczej... więcej

Bezpłatnie wspieramy w zapewnieniu bezpiecznej pracy zdalnej: dokumentacja, porady, e-szkolenie Więcej