Kalkulator analizy ryzyka

Kalkulator analizy ryzyka dla zasobów
przetwarzających dane osobowe

Sprawdź, jaki poziom ryzyka wiąże się z przetwarzaniem danych osobowych przez wybrany zasób i ustal, w jaki sposób na to ryzyko zareagować.

Wdrożenie RODO od strony formalnoprawnej oznacza m.in. prawidłowe klauzule zgód, rejestry i postanowienia umowne. Cały ten wysiłek może pójść na marne, jeśli dane zostaną utracone, zmodyfikowane lub ujawnione nieuprawnionym osobom. Tego rodzaju incydenty powstają na zasobach, czego przykładem jest zgubienie laptopa, zniszczenie dokumentów, awaria serwera czy atak na stronę internetową.

Niezależnie, czy jesteś administratorem, czy podmiotem przetwarzającym, art. 32 RODO wymaga, abyś zapewnił bezpieczeństwo przetwarzanych danych osobowych – w stopniu odpowiadającym ryzyku naruszenia praw lub wolności osób fizycznych. RODO nie wskazuje szczegółowej metody analizy ryzyka (o niej dowiesz się w naszym artykule "Analiza ryzyka dla zasobów przetwarzających dane osobowe").

Dla ułatwienia przeprowadzenia analizy ryzyka, przedstawiamy poniżej narzędzie, dzięki któremu krok po kroku dokonasz takiej ewaluacji dla pojedynczego typu zasobu. Stanowi ono cenną wskazówkę dla osób, które chcą zapewnić bezpieczeństwo danych osobowych, jednak nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą wywiązać się z nałożonych unijnym aktem obowiązków.
Uwaga: niniejszy materiał dotyczy bezpieczeństwa przetwarzania danych osobowych za pomocą danego zasobu. Ocena ryzyka występuje także dla procesów przetwarzania danych (na proces składa się wszystko, co dzieje się z danymi osobowymi w jednym konkretnym celu – od momentu ich pozyskania do usunięcia, np. proces rekrutacji): narzędzie udostępniamy w artykule "Ocena skutków dla ochrony danych (DPIA)". Analiz należy dokonać równolegle.

Dokonaj analizy ryzyka dla zasobu

1Analizowane zasoby

Wybieramy zasób, który będzie podlegał analizie.

Grupa zasobów ?

Dla ułatwienia prowadzenia analizy zalecamy wytypowanie grup zasobów, które ułatwią identyfikację samych zasobów. Podział może być wykonany według przyjętych przez Ciebie kryteriów, my proponujemy nazwy grup zasobów zapożyczone z normy ISO/IEC 27005, np. systemy operacyjne i aplikacje; dokumenty w wersji papierowej.

Nazwa zasobu ?

Wskaż, jaki typ zasobu będziesz analizować: czy będą to np. wszystkie laptopy, czy też oddzielnie przeanalizujesz laptopy pracowników mobilnych i biurowych. Zalecamy oddzielną analizę ryzyka wszędzie tam, gdzie spodziewasz się różnych wyników (np. laptopy wykorzystywane przez zarząd, managerów średniego szczebla, pracowników biurowych, itp.).

Wartość zasobu ?

Czy zasób przetwarza dane, w przypadku których naruszenie może spowodować szkodę dla osób, których dane dotyczą? Przykłady szkód to kradzież tożsamości, szkoda finansowa, szkoda wizerunkowa, dyskryminacja.

2Identyfikowanie zabezpieczeń

Opisujemy, w jaki sposób zabezpieczono zasób.

Opis zabezpieczeń technicznych ?

Opisz, jakie techniczne środki mają zwiększyć poziom bezpieczeństwa danych, np. szyfrowanie, dwuetapowa weryfikacja, zasilanie awaryjne, alarm kopia zapasowa, ochrona przed szkodliwym oprogramowaniem, stosowanie zamków, monitoring wizyjny, rejestrowanie zdarzeń. Później ocenisz ich skuteczność.

Opis zabezpieczeń organizacyjnych ?

Opisz, jakie organizacyjne środki mają zwiększyć poziom bezpieczeństwa danych, np. przeszkolenie, wdrożenie norm ISO, wdrożenie polityki czystego biurka i ekranu, procedury kontroli dostępu, inne procedury bezpieczeństwa, odpowiedzialność pracowników, ubezpieczenie, gwarancja, postanowienia umowy. Później ocenisz ich skuteczność.

3Prawdopodobieństwo wystąpienia zagrożeń

Oceń, na ile realne jest wystąpienie incydentu.

Przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych ?

Np. pożar, zalanie, awaria lub przeciążenie systemu/ urządzenia, utrata dostawy energii.

Przypadkowa lub niezgodna z prawem modyfikacja danych ?

Np. błąd systemu, błąd użytkownika, błąd administratora systemów, nieautoryzowana zmiana danych.

Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych ?

Np. podsłuch, kradzież, szpiegostwo, manipulacja, włamanie.

4Ocena efektywności zabezpieczeń

Oceń, czy zastosowane zabezpieczenia skutecznie zmniejszają prawdopodobieństwo naruszeń.

Efektywność zabezpieczeń technicznych ?

Oceń, czy opisane techniczne środki skutecznie chronią przed zagrożeniami.

Efektywność zabezpieczeń organizacyjnych ?

Oceń, czy opisane organizacyjne środki skutecznie chronią przed zagrożeniami.

5Identyfikowanie podatności

Zapisz obserwacje na temat słabych punktów analizowanego zasobu.

Opis podatności ?

Wskaż luki, uchybienia i inne czynniki, przez które zagrożenia mogą się zmaterializować, np. widoczne dla gości ustawienie monitorów; brak stosowania zasad czystego biurka i ekranu; brak szyfrowania; zbyt duża ilość osób uprawnionych do dostępu; brak kopii zapasowych; brak świadomości personelu brak gwarancji; brak niezbędnych umów; brak odpowiednich procedur i zapewnienia ich stosowania. Na podstawie tego opisu będziesz mógł przygotować rekomendacje.

6Identyfikowanie skutków

Określamy skutki naruszenia dla funkcjonowania organizacji (skutki dla osób fizycznych ocenisz w ramach DPIA).

Oddziaływanie możliwych następstw na ciągłość procesów przetwarzania danych osobowych. ?

Oceń, na ile wystąpienie naruszenia wpłynęłoby na funkcjonowanie organizacji, np. czasowe zablokowanie możliwości świadczenia usług, do których niezbędny jest dany zasób.

7Postępowanie z ryzykiem (nie dotyczy niskiego ryzyka)

Zaplanuj działania mające zaradzić zidentyfikowanemu ryzyku.

Sugerowany rodzaj reakcji na ryzyko ?

W razie wysokiego ryzyka, przed rozpoczęciem przetwarzania należy je zminimalizować.

Rekomendacje ?

Przy sporządzaniu rekomendacji należy przede wszystkim uwzględnić opis podatności i wskazać, jak wyeliminować luki bezpieczeństwa, np. należy zapewnić stosowanie polityki czystego biurka i ekranu; należy zastosować szyfrowanie; zaleca się przeprowadzić szkolenia personelu.

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 24 i 32 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

Wsparcie

Wspieramy w zakresie naruszeń ochrony danych, w tym klasyfikowaniu zdarzeń jako wymagających powiadomienia Prezesa Urzędu Ochrony Danych Osobowych i osób, których dane dotyczą.

Poziom ryzyka

Biuletyn
ODO 24

Dzięki subskrypcji naszego biuletynu otrzymasz bezpłatny poradnik RODO (pobierz fragment) oraz stały dostęp do najważniejszych informacji ze świata ochrony danych osobowych, nowości, promocji i gratisów naszej ofercie.

Zobacz
poprzednie wydania.

Blog ODO 24

Umowa powierzenia przetwarzania danych osobowych zgodna z RODO (aktualizacja)

Dynamicznie rozwijający się outsourcing usług związanych z prowadzeniem działalności gospodarczej... więcej

Quo vadis e-Privacy?

EPrivacy to chyba jeden z najczęściej wymienianych w ostatnim czasie, lecz…nieistniejących aktów prawnych.... więcej

Praktyczne problemy związane z realizacją praw osób fizycznych

RODO obowiązuje już prawie dwa lata, a mimo to nadal budzi wiele kontrowersji. Częstym problemem wśród... więcej

Udostępniamy wzór regulaminu pracy zdalnej

W przypadku wprowadzenia pracy zdalnej największym wyzwaniem dla pracodawców jest odpowiednie zabezpieczenie... więcej

Przewodnicząca EROD a epidemia koronawirusa

16 marca 2020 r., opublikowano stanowisko, jakie zajęła Andrea Jelinek, przewodnicząca Europejskiej Rady... więcej

Jak zorganizować bezpieczną pracę zdalną – checklista dla działów IT

Odpowiadasz za bezpieczeństwo IT i otrzymałeś zadanie zorganizowania bezpiecznej pracy zdalnej dla personelu... więcej

Czy wolno mierzyć temperaturę pracownikom z uwagi na koronawirusa? Tak!

W dniu 12 marca 2020 roku zostało wydane Oświadczenie Prezesa UODO w sprawie koronawirusa. W oświadczeniu... więcej

Spotkanie z EIOD co nowego na europejskim poletku?

Dnia 5 lutego odbyło się zorganizowane przez Konfederację Lewiatan spotkanie z Europejskim Inspektorem... więcej

Ochrona danych osobowych a Pracownicze Plany Kapitałowe (PPK) – instrukcja obsługi

Na podstawie stale napływających do nas pytań związanych z PPK stworzyliśmy krótkie opracowanie najbardziej... więcej

Roczne sprawozdanie z realizacji obowiązków IOD na gruncie DODO - udostępniamy wzór

Zbliża się okres wymagający wyjątkowo intensywnej pracy od inspektorów ochrony danych (IOD) wyznaczanych... więcej