Zamknij
Zamknij
Strona główna  •  Narzędzia  •  Kalkulator analizy ryzyka

Kalkulator analizy ryzyka dla zasobów
przetwarzających dane osobowe

Kalkulator

Sprawdź, jaki poziom ryzyka wiąże się z przetwarzaniem danych osobowych przez wybrany zasób i ustal, w jaki sposób na to ryzyko zareagować.

Wdrożenie RODO od strony formalnoprawnej oznacza m.in. prawidłowe klauzule zgód, rejestry i postanowienia umowne. Cały ten wysiłek może pójść na marne, jeśli dane zostaną utracone, zmodyfikowane lub ujawnione nieuprawnionym osobom. Tego rodzaju incydenty powstają na zasobach, czego przykładem jest zgubienie laptopa, zniszczenie dokumentów, awaria serwera czy atak na stronę internetową.

Niezależnie, czy jesteś administratorem, czy podmiotem przetwarzającym, art. 32 RODO wymaga, abyś zapewnił bezpieczeństwo przetwarzanych danych osobowych – w stopniu odpowiadającym ryzyku naruszenia praw lub wolności osób fizycznych. RODO nie wskazuje szczegółowej metody analizy ryzyka (o niej dowiesz się w naszym artykule "Analiza ryzyka dla zasobów przetwarzających dane osobowe").

Przykład uzupełnienia

Dla ułatwienia przeprowadzenia analizy ryzyka, przedstawiamy poniżej narzędzie, dzięki któremu krok po kroku dokonasz takiej ewaluacji dla pojedynczego typu zasobu. Stanowi ono cenną wskazówkę dla osób, które chcą zapewnić bezpieczeństwo danych osobowych, jednak nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą wywiązać się z nałożonych unijnym aktem obowiązków.
Uwaga: niniejszy materiał dotyczy bezpieczeństwa przetwarzania danych osobowych za pomocą danego zasobu. Ocena ryzyka występuje także dla procesów przetwarzania danych (na proces składa się wszystko, co dzieje się z danymi osobowymi w jednym konkretnym celu – od momentu ich pozyskania do usunięcia, np. proces rekrutacji): narzędzie udostępniamy w artykule "Ocena skutków dla ochrony danych (DPIA)". Analiz należy dokonać równolegle.

Dokonaj analizy ryzyka dla zasobu

1Analizowane zasoby

Wybieramy zasób, który będzie podlegał analizie.

Grupa zasobów ?
Dla ułatwienia prowadzenia analizy zalecamy wytypowanie grup zasobów, które ułatwią identyfikację samych zasobów. Podział może być wykonany według przyjętych przez Ciebie kryteriów, my proponujemy nazwy grup zasobów zapożyczone z normy ISO/IEC 27005, np. systemy operacyjne i aplikacje; dokumenty w wersji papierowej.
Nazwa zasobu ?
Wskaż, jaki typ zasobu będziesz analizować: czy będą to np. wszystkie laptopy, czy też oddzielnie przeanalizujesz laptopy pracowników mobilnych i biurowych. Zalecamy oddzielną analizę ryzyka wszędzie tam, gdzie spodziewasz się różnych wyników (np. laptopy wykorzystywane przez zarząd, managerów średniego szczebla, pracowników biurowych, itp.).
Wartość zasobu ?
Czy zasób przetwarza dane, w przypadku których naruszenie może spowodować szkodę dla osób, których dane dotyczą? Przykłady szkód to kradzież tożsamości, szkoda finansowa, szkoda wizerunkowa, dyskryminacja.

2Identyfikowanie zabezpieczeń

Opisujemy, w jaki sposób zabezpieczono zasób.

Opis zabezpieczeń technicznych ?
Opisz, jakie techniczne środki mają zwiększyć poziom bezpieczeństwa danych, np. szyfrowanie, dwuetapowa weryfikacja, zasilanie awaryjne, alarm kopia zapasowa, ochrona przed szkodliwym oprogramowaniem, stosowanie zamków, monitoring wizyjny, rejestrowanie zdarzeń. Później ocenisz ich skuteczność.
Opis zabezpieczeń organizacyjnych ?
Opisz, jakie organizacyjne środki mają zwiększyć poziom bezpieczeństwa danych, np. przeszkolenie, wdrożenie norm ISO, wdrożenie polityki czystego biurka i ekranu, procedury kontroli dostępu, inne procedury bezpieczeństwa, odpowiedzialność pracowników, ubezpieczenie, gwarancja, postanowienia umowy. Później ocenisz ich skuteczność.

3Prawdopodobieństwo wystąpienia zagrożeń

Oceń, na ile realne jest wystąpienie incydentu.

Przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych ?
Np. pożar, zalanie, awaria lub przeciążenie systemu/ urządzenia, utrata dostawy energii.
Przypadkowa lub niezgodna z prawem modyfikacja danych ?
Np. błąd systemu, błąd użytkownika, błąd administratora systemów, nieautoryzowana zmiana danych.
Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych ?
Np. podsłuch, kradzież, szpiegostwo, manipulacja, włamanie.

4Ocena efektywności zabezpieczeń

Oceń, czy zastosowane zabezpieczenia skutecznie zmniejszają prawdopodobieństwo naruszeń.

Efektywność zabezpieczeń technicznych ?
Oceń, czy opisane techniczne środki skutecznie chronią przed zagrożeniami.
Efektywność zabezpieczeń organizacyjnych ?
Oceń, czy opisane organizacyjne środki skutecznie chronią przed zagrożeniami.

5Identyfikowanie podatności

Zapisz obserwacje na temat słabych punktów analizowanego zasobu.

Opis podatności ?
Wskaż luki, uchybienia i inne czynniki, przez które zagrożenia mogą się zmaterializować, np. widoczne dla gości ustawienie monitorów; brak stosowania zasad czystego biurka i ekranu; brak szyfrowania; zbyt duża ilość osób uprawnionych do dostępu; brak kopii zapasowych; brak świadomości personelu brak gwarancji; brak niezbędnych umów; brak odpowiednich procedur i zapewnienia ich stosowania. Na podstawie tego opisu będziesz mógł przygotować rekomendacje.

6Identyfikowanie skutków

Określamy skutki naruszenia dla funkcjonowania organizacji (skutki dla osób fizycznych ocenisz w ramach DPIA).

Oddziaływanie możliwych następstw na ciągłość procesów przetwarzania danych osobowych. ?
Oceń, na ile wystąpienie naruszenia wpłynęłoby na funkcjonowanie organizacji, np. czasowe zablokowanie możliwości świadczenia usług, do których niezbędny jest dany zasób.

7Postępowanie z ryzykiem (nie dotyczy niskiego ryzyka)

Zaplanuj działania mające zaradzić zidentyfikowanemu ryzyku.

Sugerowany rodzaj reakcji na ryzyko ?
W razie wysokiego ryzyka, przed rozpoczęciem przetwarzania należy je zminimalizować.
Rekomendacje ?
Przy sporządzaniu rekomendacji należy przede wszystkim uwzględnić opis podatności i wskazać, jak wyeliminować luki bezpieczeństwa, np. należy zapewnić stosowanie polityki czystego biurka i ekranu; należy zastosować szyfrowanie; zaleca się przeprowadzić szkolenia personelu.

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 24 i 32 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.



Dr RODO

Poziom ryzyka
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnej pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziejsz w wiaodmości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).