Kalkulator analizy ryzyka

Kalkulator analizy ryzyka dla zasobów
przetwarzających dane osobowe

Sprawdź, jaki poziom ryzyka wiąże się z przetwarzaniem danych osobowych przez wybrany zasób i ustal, w jaki sposób na to ryzyko zareagować.

Wdrożenie RODO od strony formalnoprawnej oznacza m.in. prawidłowe klauzule zgód, rejestry i postanowienia umowne. Cały ten wysiłek może pójść na marne, jeśli dane zostaną utracone, zmodyfikowane lub ujawnione nieuprawnionym osobom. Tego rodzaju incydenty powstają na zasobach, czego przykładem jest zgubienie laptopa, zniszczenie dokumentów, awaria serwera czy atak na stronę internetową.

Niezależnie, czy jesteś administratorem, czy podmiotem przetwarzającym, art. 32 RODO wymaga, abyś zapewnił bezpieczeństwo przetwarzanych danych osobowych – w stopniu odpowiadającym ryzyku naruszenia praw lub wolności osób fizycznych. RODO nie wskazuje szczegółowej metody analizy ryzyka (o niej dowiesz się w naszym artykule "Analiza ryzyka dla zasobów przetwarzających dane osobowe").

Przykład uzupełnienia

Dla ułatwienia przeprowadzenia analizy ryzyka, przedstawiamy poniżej narzędzie, dzięki któremu krok po kroku dokonasz takiej ewaluacji dla pojedynczego typu zasobu. Stanowi ono cenną wskazówkę dla osób, które chcą zapewnić bezpieczeństwo danych osobowych, jednak nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą wywiązać się z nałożonych unijnym aktem obowiązków.
Uwaga: niniejszy materiał dotyczy bezpieczeństwa przetwarzania danych osobowych za pomocą danego zasobu. Ocena ryzyka występuje także dla procesów przetwarzania danych (na proces składa się wszystko, co dzieje się z danymi osobowymi w jednym konkretnym celu – od momentu ich pozyskania do usunięcia, np. proces rekrutacji): narzędzie udostępniamy w artykule "Ocena skutków dla ochrony danych (DPIA)". Analiz należy dokonać równolegle.

Dokonaj analizy ryzyka dla zasobu

1Analizowane zasoby

Wybieramy zasób, który będzie podlegał analizie.

Grupa zasobów ?

Dla ułatwienia prowadzenia analizy zalecamy wytypowanie grup zasobów, które ułatwią identyfikację samych zasobów. Podział może być wykonany według przyjętych przez Ciebie kryteriów, my proponujemy nazwy grup zasobów zapożyczone z normy ISO/IEC 27005, np. systemy operacyjne i aplikacje; dokumenty w wersji papierowej.

Nazwa zasobu ?

Wskaż, jaki typ zasobu będziesz analizować: czy będą to np. wszystkie laptopy, czy też oddzielnie przeanalizujesz laptopy pracowników mobilnych i biurowych. Zalecamy oddzielną analizę ryzyka wszędzie tam, gdzie spodziewasz się różnych wyników (np. laptopy wykorzystywane przez zarząd, managerów średniego szczebla, pracowników biurowych, itp.).

Wartość zasobu ?

Czy zasób przetwarza dane, w przypadku których naruszenie może spowodować szkodę dla osób, których dane dotyczą? Przykłady szkód to kradzież tożsamości, szkoda finansowa, szkoda wizerunkowa, dyskryminacja.

2Identyfikowanie zabezpieczeń

Opisujemy, w jaki sposób zabezpieczono zasób.

Opis zabezpieczeń technicznych ?

Opisz, jakie techniczne środki mają zwiększyć poziom bezpieczeństwa danych, np. szyfrowanie, dwuetapowa weryfikacja, zasilanie awaryjne, alarm kopia zapasowa, ochrona przed szkodliwym oprogramowaniem, stosowanie zamków, monitoring wizyjny, rejestrowanie zdarzeń. Później ocenisz ich skuteczność.

Opis zabezpieczeń organizacyjnych ?

Opisz, jakie organizacyjne środki mają zwiększyć poziom bezpieczeństwa danych, np. przeszkolenie, wdrożenie norm ISO, wdrożenie polityki czystego biurka i ekranu, procedury kontroli dostępu, inne procedury bezpieczeństwa, odpowiedzialność pracowników, ubezpieczenie, gwarancja, postanowienia umowy. Później ocenisz ich skuteczność.

3Prawdopodobieństwo wystąpienia zagrożeń

Oceń, na ile realne jest wystąpienie incydentu.

Przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych ?

Np. pożar, zalanie, awaria lub przeciążenie systemu/ urządzenia, utrata dostawy energii.

Przypadkowa lub niezgodna z prawem modyfikacja danych ?

Np. błąd systemu, błąd użytkownika, błąd administratora systemów, nieautoryzowana zmiana danych.

Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych ?

Np. podsłuch, kradzież, szpiegostwo, manipulacja, włamanie.

4Ocena efektywności zabezpieczeń

Oceń, czy zastosowane zabezpieczenia skutecznie zmniejszają prawdopodobieństwo naruszeń.

Efektywność zabezpieczeń technicznych ?

Oceń, czy opisane techniczne środki skutecznie chronią przed zagrożeniami.

Efektywność zabezpieczeń organizacyjnych ?

Oceń, czy opisane organizacyjne środki skutecznie chronią przed zagrożeniami.

5Identyfikowanie podatności

Zapisz obserwacje na temat słabych punktów analizowanego zasobu.

Opis podatności ?

Wskaż luki, uchybienia i inne czynniki, przez które zagrożenia mogą się zmaterializować, np. widoczne dla gości ustawienie monitorów; brak stosowania zasad czystego biurka i ekranu; brak szyfrowania; zbyt duża ilość osób uprawnionych do dostępu; brak kopii zapasowych; brak świadomości personelu brak gwarancji; brak niezbędnych umów; brak odpowiednich procedur i zapewnienia ich stosowania. Na podstawie tego opisu będziesz mógł przygotować rekomendacje.

6Identyfikowanie skutków

Określamy skutki naruszenia dla funkcjonowania organizacji (skutki dla osób fizycznych ocenisz w ramach DPIA).

Oddziaływanie możliwych następstw na ciągłość procesów przetwarzania danych osobowych. ?

Oceń, na ile wystąpienie naruszenia wpłynęłoby na funkcjonowanie organizacji, np. czasowe zablokowanie możliwości świadczenia usług, do których niezbędny jest dany zasób.

7Postępowanie z ryzykiem (nie dotyczy niskiego ryzyka)

Zaplanuj działania mające zaradzić zidentyfikowanemu ryzyku.

Sugerowany rodzaj reakcji na ryzyko ?

W razie wysokiego ryzyka, przed rozpoczęciem przetwarzania należy je zminimalizować.

Rekomendacje ?

Przy sporządzaniu rekomendacji należy przede wszystkim uwzględnić opis podatności i wskazać, jak wyeliminować luki bezpieczeństwa, np. należy zapewnić stosowanie polityki czystego biurka i ekranu; należy zastosować szyfrowanie; zaleca się przeprowadzić szkolenia personelu.

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 24 i 32 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

Poziom ryzyka

Biuletyn
ODO 24

Dzięki subskrypcji naszego biuletynu otrzymasz bezpłatny poradnik RODO (pobierz fragment) oraz stały dostęp do najważniejszych informacji ze świata ochrony danych osobowych, nowości, promocji i gratisów naszej ofercie.

Zobacz
poprzednie wydania.

Blog ODO 24

Pracodawca w walce z pandemią: prawo do prywatności a prawo do zdrowia

Minęło już pół roku, odkąd Światowa Organizacja Zdrowia ogłosiła pandemię koronawirusa, a mimo to polscy... więcej

Bezpieczeństwo danych w firmach programistycznych – najciemniej pod latarnią?

W epoce informatyzacji trudno wyobrazić sobie poważny biznes, który w większym lub mniejszym stopniu nie... więcej

Praca zdalna a prywatny sprzęt (BYOD) - nowa normalność?

Epidemia koronawirusa może trwale wpłynąć na stosunek pracodawców i pracowników do pracy poza biurem. Praca z... więcej

Problematyka pojęć nieostrych w RODO - duża skala przetwarzania danych osobowych

RODO zawiera wiele pojęć budzących wątpliwości interpretacyjne. Pogłębiane z każdym dniem doświadczenie w... więcej

35 milionów euro kary dla H&M za inwigilację pracowników

Mimo że RODO wprost przewiduje, że administracyjna kara pieniężna, która grozi za naruszenie kluczowych... więcej

Sprawozdanie z działalności Prezesa UODO za 2019 r.

Na stronie internetowej Urzędu Ochrony Danych Osobowych zostało opublikowane sprawozdanie z działalności... więcej

Body leasing a RODO

„Body leasing” to model współpracy, której przedmiotem jest udostępnianie pracowników lub współpracowników... więcej

Top 10 najczęstszych błędów przy zgłaszaniu i obsłudze naruszeń ochrony danych osobowych

Osoby, które na bieżąco śledzą działania Urzędu Ochrony Danych Osobowych (UODO) – z pewnością zwróciły uwagę... więcej

Naruszenia ochrony danych: jakie są zgłaszane najczęściej i w jaki sposób można im zapobiegać

Zgodnie z RODO naruszenie ochrony danych osobowych należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych,... więcej

Czy TikTok tańczy w rytmie RODO?

Czarne chmury zbierające się nad popularnym TikTok-iem dotarły również nad Europę. Zdaniem holenderskiej... więcej

Dr RODO - Diagnozuj zgodność Sprawdź