Kalkulator analizy ryzyka

Sprawdź, czy zabezpieczenia, które stosujesz są skuteczne. Skorzystaj z poniższego kalkulatora i wypełnij treścią neutralne technologicznie RODO.

Jeżeli potrzebujesz większego wsparcia, skorzystaj z Dr RODO, gdzie znajdziesz gotową listę zasobów (ponad 150 pozycji), dla których wskazaliśmy związane z nimi podatności i zagrożenia oraz opis najczęściej stosowanych zabezpieczeń. Jeżeli chcesz, abyśmy wykonali analizę ryzyka za Ciebie, skontaktuj się z naszymi doradcami.

dowiedz się więcej Wykonaj analizę

Tomasz Ochocki

Zgodność z RODO to m.in. prawidłowo odebrane zgody na przetwarzanie danych osobowych, czytelne klauzule informacyjne oraz starannie prowadzony rejestr czynności przetwarzania. Cały ten wysiłek może pójść na marne, jeśli dane, które Twoja organizacja tak pieczołowicie zbierała, zostaną utracone, zmodyfikowane lub ujawnione nieuprawnionym osobom.

Niezależnie od tego, czy jesteś administratorem, czy podmiotem przetwarzającym, art. 32 RODO wymaga od Ciebie, abyś zapewnił bezpieczeństwo przetwarzanych danych osobowych w stopniu odpowiadającym ryzyku naruszenia praw lub wolności osób fizycznych.

Jest na to tylko jeden sposób – analiza ryzyka. Dla ułatwienia jej przeprowadzenia przedstawiamy nasz kalkulator, dzięki któremu krok po kroku dokonasz takiej ewaluacji. Stanowi ona cenną wskazówkę dla osób, które nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą zapewnić bezpieczeństwo danych i wywiązać się z nałożonych przez RODO obowiązków. W artykule „Analiza ryzyka dla pracy zdalnej” krok po kroku omawiamy ten proces w odniesieniu do popularnego home office’u.

Nasz kalkulator pomoże Ci:
- zrobić analizę ryzyka (art. 32 RODO),
- wdrożyć ochronę danych osobowych w fazie projektowania (art. 25 RODO),
- ocenić czy wdrożone przez Ciebie po incydencie zabezpieczenia są skuteczne (art. 33 RODO).

Wykonaj analizę ryzyka

1Analizowany zasób

Grupa zasobów
Grupa zasobów oznacza kategorie aktywów zaangażowanych w przetwarzanie danych osobowych.
Nazwa zasobu
Wskaż zasób, który będziesz analizował. Postaraj się być maksymalnie precyzyjny. Zalecamy odrębną analizę ryzyka wszędzie tam, gdzie spodziewasz się różnych wyników (np. indywidualne komputery poszczególnych pracowników oraz komputery ulokowane w pomieszczeniach ogólnodostępnych).

2Identyfikowanie zagrożeń

Zagrożenie?
Źródło?
Wybierz odpowiedź
Wybierz odpowiedź
Wybierz odpowiedź
Wybierz odpowiedź
Wybierz odpowiedź

3Identyfikowanie zabezpieczeń

Zabezpieczenia techniczne
Opisz, jakie techniczne środki ochrony danych stosujesz (np. szyfrowanie danych, mechanizm 2FA, kopie zapasowe, monitoring wizyjny, system antywirusowy).
Opis zabezpieczeń organizacyjnych
Opisz, jakie organizacyjne środki ochrony danych stosujesz (np. szkolenie personelu, upoważnienie do przetwarzania danych, stosowne polityki i procedury przetwarzania danych, zapisy umowne).

4Identyfikowanie podatności

Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 1
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 2
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 3
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 4
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 5
Wskaż luki, uchybienia i inne czynniki, które mogą się zmaterializować (np. brak szyfrowania dysków twardych, brak szkoleń dla personelu, brak kopii zapasowych, monitory ustawione w stronę osób postronnych odwiedzających organizację). W przypadku przekroczenia akceptowanego poziomu ryzyka, zidentyfikowane podatności będą podstawą do wydania rekomendacji.

5Szacowanie ryzyka

Zagrożenie?
Prawdopodobieństwo
Skutki
Ryzyko
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Brak danych
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie

LEGENDA

W oparciu o poniższą legendę oszacuj prawdopodobieństwo zagrożenia:

(1) niskie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania nie wydaje się możliwe dla wybranych źródeł ryzyka;

(2) średnie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się trudne dla wybranych źródeł ryzyka;

(3) wysokie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się możliwe dla wybranych źródeł ryzyka;

(4) bardzo wysokie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.

W oparciu o poniższą legendę oszacuj skutki zagrożenia dla praw i wolności osób których dane dotyczą:

(1) niskie skutki – osoby, których dane dotyczą, nie zostaną dotknięte skutkami naruszenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.);

(2) średnie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.);

(3) wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.);

(4) bardzo wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).

6Planowany sposób reakcji na ryzyko

Wskaż, w jaki sposób zamierzasz postępować ze zidentyfikowanym ryzykiem

Zagrożenie?
Ryzyko
Sposób postępowania z ryzykiem
Rekomendacje
Brak danych
Niskie
Brak danych
Niskie
Brak danych
Niskie
Brak danych
Niskie
Brak danych
Niskie

Czy wiesz już wszystko o analizie ryzyka? Obejrzyj nasz webinar!

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 24 i 32 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.


Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".