Kalkulator analizy ryzyka

Kalkulator analizy ryzyka dla zasobów
przetwarzających dane osobowe

Sprawdź, jaki poziom ryzyka wiąże się z przetwarzaniem danych osobowych przez wybrany zasób i ustal, w jaki sposób na to ryzyko zareagować.

Wdrożenie RODO od strony formalnoprawnej oznacza m.in. prawidłowe klauzule zgód, rejestry i postanowienia umowne. Cały ten wysiłek może pójść na marne, jeśli dane zostaną utracone, zmodyfikowane lub ujawnione nieuprawnionym osobom. Tego rodzaju incydenty powstają na zasobach, czego przykładem jest zgubienie laptopa, zniszczenie dokumentów, awaria serwera czy atak na stronę internetową.

Niezależnie, czy jesteś administratorem, czy podmiotem przetwarzającym, art. 32 RODO wymaga, abyś zapewnił bezpieczeństwo przetwarzanych danych osobowych – w stopniu odpowiadającym ryzyku naruszenia praw lub wolności osób fizycznych. RODO nie wskazuje szczegółowej metody analizy ryzyka (o niej dowiesz się w naszym artykule "Analiza ryzyka dla zasobów przetwarzających dane osobowe").

Dla ułatwienia przeprowadzenia analizy ryzyka, przedstawiamy poniżej narzędzie, dzięki któremu krok po kroku dokonasz takiej ewaluacji dla pojedynczego typu zasobu. Stanowi ono cenną wskazówkę dla osób, które chcą zapewnić bezpieczeństwo danych osobowych, jednak nie posiadają bogatego doświadczenia w dziedzinie ochrony danych osobowych, ale chcą wywiązać się z nałożonych unijnym aktem obowiązków.
Uwaga: niniejszy materiał dotyczy bezpieczeństwa przetwarzania danych osobowych za pomocą danego zasobu. Ocena ryzyka występuje także dla procesów przetwarzania danych (na proces składa się wszystko, co dzieje się z danymi osobowymi w jednym konkretnym celu – od momentu ich pozyskania do usunięcia, np. proces rekrutacji): narzędzie udostępniamy w artykule "Ocena skutków dla ochrony danych (DPIA)". Analiz należy dokonać równolegle.

Dokonaj analizy ryzyka dla zasobu

1Analizowane zasoby

Wybieramy zasób, który będzie podlegał analizie.

Grupa zasobów ?

Dla ułatwienia prowadzenia analizy zalecamy wytypowanie grup zasobów, które ułatwią identyfikację samych zasobów. Podział może być wykonany według przyjętych przez Ciebie kryteriów, my proponujemy nazwy grup zasobów zapożyczone z normy ISO/IEC 27005, np. systemy operacyjne i aplikacje; dokumenty w wersji papierowej.

Nazwa zasobu ?

Wskaż, jaki typ zasobu będziesz analizować: czy będą to np. wszystkie laptopy, czy też oddzielnie przeanalizujesz laptopy pracowników mobilnych i biurowych. Zalecamy oddzielną analizę ryzyka wszędzie tam, gdzie spodziewasz się różnych wyników (np. laptopy wykorzystywane przez zarząd, managerów średniego szczebla, pracowników biurowych, itp.).

Wartość zasobu ?

Czy zasób przetwarza dane, w przypadku których naruszenie może spowodować szkodę dla osób, których dane dotyczą? Przykłady szkód to kradzież tożsamości, szkoda finansowa, szkoda wizerunkowa, dyskryminacja.

2Identyfikowanie zabezpieczeń

Opisujemy, w jaki sposób zabezpieczono zasób.

Opis zabezpieczeń technicznych ?

Opisz, jakie techniczne środki mają zwiększyć poziom bezpieczeństwa danych, np. szyfrowanie, dwuetapowa weryfikacja, zasilanie awaryjne, alarm kopia zapasowa, ochrona przed szkodliwym oprogramowaniem, stosowanie zamków, monitoring wizyjny, rejestrowanie zdarzeń. Później ocenisz ich skuteczność.

Opis zabezpieczeń organizacyjnych ?

Opisz, jakie organizacyjne środki mają zwiększyć poziom bezpieczeństwa danych, np. przeszkolenie, wdrożenie norm ISO, wdrożenie polityki czystego biurka i ekranu, procedury kontroli dostępu, inne procedury bezpieczeństwa, odpowiedzialność pracowników, ubezpieczenie, gwarancja, postanowienia umowy. Później ocenisz ich skuteczność.

3Prawdopodobieństwo wystąpienia zagrożeń

Oceń, na ile realne jest wystąpienie incydentu.

Przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych ?

Np. pożar, zalanie, awaria lub przeciążenie systemu/ urządzenia, utrata dostawy energii.

Przypadkowa lub niezgodna z prawem modyfikacja danych ?

Np. błąd systemu, błąd użytkownika, błąd administratora systemów, nieautoryzowana zmiana danych.

Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych ?

Np. podsłuch, kradzież, szpiegostwo, manipulacja, włamanie.

4Ocena efektywności zabezpieczeń

Oceń, czy zastosowane zabezpieczenia skutecznie zmniejszają prawdopodobieństwo naruszeń.

Efektywność zabezpieczeń technicznych ?

Oceń, czy opisane techniczne środki skutecznie chronią przed zagrożeniami.

Efektywność zabezpieczeń organizacyjnych ?

Oceń, czy opisane organizacyjne środki skutecznie chronią przed zagrożeniami.

5Identyfikowanie podatności

Zapisz obserwacje na temat słabych punktów analizowanego zasobu.

Opis podatności ?

Wskaż luki, uchybienia i inne czynniki, przez które zagrożenia mogą się zmaterializować, np. widoczne dla gości ustawienie monitorów; brak stosowania zasad czystego biurka i ekranu; brak szyfrowania; zbyt duża ilość osób uprawnionych do dostępu; brak kopii zapasowych; brak świadomości personelu brak gwarancji; brak niezbędnych umów; brak odpowiednich procedur i zapewnienia ich stosowania. Na podstawie tego opisu będziesz mógł przygotować rekomendacje.

6Identyfikowanie skutków

Określamy skutki naruszenia dla funkcjonowania organizacji (skutki dla osób fizycznych ocenisz w ramach DPIA).

Oddziaływanie możliwych następstw na ciągłość procesów przetwarzania danych osobowych. ?

Oceń, na ile wystąpienie naruszenia wpłynęłoby na funkcjonowanie organizacji, np. czasowe zablokowanie możliwości świadczenia usług, do których niezbędny jest dany zasób.

7Postępowanie z ryzykiem (nie dotyczy niskiego ryzyka)

Zaplanuj działania mające zaradzić zidentyfikowanemu ryzyku.

Sugerowany rodzaj reakcji na ryzyko ?

W razie wysokiego ryzyka, przed rozpoczęciem przetwarzania należy je zminimalizować.

Rekomendacje ?

Przy sporządzaniu rekomendacji należy przede wszystkim uwzględnić opis podatności i wskazać, jak wyeliminować luki bezpieczeństwa, np. należy zapewnić stosowanie polityki czystego biurka i ekranu; należy zastosować szyfrowanie; zaleca się przeprowadzić szkolenia personelu.

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt bezpieczeństwa danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 24 i 32 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

Wsparcie

Wspieramy w zakresie naruszeń ochrony danych, w tym klasyfikowaniu zdarzeń jako wymagających powiadomienia Prezesa Urzędu Ochrony Danych Osobowych i osób, których dane dotyczą.

Poziom ryzyka

Biuletyn
ODO 24

Dzięki subskrypcji naszego biuletynu otrzymasz bezpłatny poradnik RODO (pobierz fragment) oraz stały dostęp do najważniejszych informacji ze świata ochrony danych osobowych, nowości, promocji i gratisów naszej ofercie.

Zobacz
poprzednie wydania.

Blog ODO 24

Jak przygotować biznes do testów penetracyjnych?

Często mówi się, że RODO to akt prawny neutralny technologicznie. Nie oznacza to jednak, że w procesie... więcej

Rekrutacja zgodna z RODO jak tor przeszkód

Ochrona danych osobowych to ważny temat podczas realizacji procesów zatrudnienia u przedsiębiorcy, w... więcej

Klauzule RODO

Każda organizacja musi wdrożyć system ochrony danych osobowych zgodny z przepisami rozporządzenia Parlamentu... więcej

Zatrudnienie a wymogi RODO

Przetwarzanie danych osobowych w procesach związanych z zatrudnieniem pracowników nie jest łatwe. Niektóre... więcej

Ułatwienie od francuskiego organu: lista przypadków, gdy dokonanie DPIA nie jest wymagane

Pod koniec ubiegłego roku francuski organ nadzorczy, Commission Nationale de l'Informatique et des Libertés... więcej

Szacowanie ryzyka zgodnie z RODO

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z... więcej

Jak przetwarzać dane osobowe w ramach zakładowego funduszu świadczeń socjalnych (ZFŚS)?

Poniżej znajdziesz odpowiedzi na pytania dotyczące praktycznych aspektów prowadzenia ZFŚS – przede wszystkim... więcej

Jak zawierać umowy online, aby były ważne (nie tylko) w świetle RODO?

W dobie postępującej cyfryzacji trudno znaleźć osobę, która nigdy nie zawarła umowy za pośrednictwem... więcej

Kto może zostać inspektorem ochrony danych na gruncie ustawy DODO?

Ustawa DODO zobowiązuje administratora do wyznaczenia inspektora ochrony danych, mającego stanowić dla niego... więcej

Pierwsza kara dla podmiotu publicznego za naruszenie RODO

Prezes UODO 18 października 2019 r. wydał decyzję administracyjną po przeprowadzeniu postępowania... więcej