RODO: PYTANIA I ODPOWIEDZI
Kategoria:
Ryzyko
Czy w urzędzie gminy - ocena pracowników samorządowych może być procesem, który należy poddać ocenie skutków?- Czy konieczne jest DPiA dla wprowadzenia pracy zdalnej w zakładzie pracy?
- Czy konieczne jest przeprowadzenie DPiA przy wdrożeniu mLegitymacja w szkole?
- Na czym polegają scenariusze testów planów ciągłości działania?
- Czy ryzyko oceniamy przed wdrożeniem zabezpieczeń?
- Czy dla oceny ryzyka nie powinniśmy ocenić poziom ryzyka przed zastosowaniem zabezpieczeń, a następnie po zastosowaniu wybranych zabezpieczeń?
- Czy w przypadku zidentyfikowania ryzyka na różnym poziomie np.: niski, średni, wysoki dla różnych aktywów czy przyjmujemy wartość najwyższą dla tego aktywu czy całe ryzyko identyfikujemy jako najwyższe?
- Jak Priorytetyzować Procesy w BCP?
- Czy mając analizę ryzyka dla ochrony danych osobowych (nie dla organizacji) to dla planu ciągłości działania będzie ona wystarczająca? Czy może trzeba ją rozszerzyć? Jak tak, to proszę podpowiedzieć o jakie elementy.
- Czy przy analizie ryzyka na gruncie RODO wymagana jest ocena ryzyka inherentnego i rezydualnego?
- Kto powinien przeprowadzać ocenę ryzyka? Jaka jest rola IODa w tym zakresie?
- Czy dla każdej operacji robimy analizę ryzyka i jak często ja robić?
- Jaką przyjąć podstawę do obliczenia prawdopodobieństwa?
- Jaka jest rola IOD przy analizie ryzyka? Proszę o konkretne przykłady jego zadań w tym procesie.
- W jaki sposób małe organizacje powinny podejść do analizy ryzyka?
- Czy jednostka administracji publicznej może na podstawie art. 35 ust. 10 RODO nie przeprowadzać oceny skutków dla ochrony danych osobowych dla procesów przetwarzania z art. 6 ust. 1 lit. c RODO?
- Czy zdalny odczyt liczników ciepła wymaga dokonania oceny skutków przetwarzania danych osobowych (DPiA)?
- Kto powinien robić DPIA?
- DPIA I i test równowagi kiedy są wymagane przy monitoringu i przetwarzaniu danych?
- Obowiązek DPIA rodzaj operacji przetwarzanie na dużą skalę?
- Chciałbym się dowiedzieć jak dokonać oceny niezbędności i proporcjonalności przy realizacji wymogu privacy by design?
- Czy podmiot przetwarzający dane ma obowiązek przeprowadzić DPIA?
- Czy przy świadczeniu usług z zakresu bezpieczeństwa IT bezpieczne jest mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności?
- Czy Urząd Ochrony Danych Osobowych ma podstawy, aby wymagać konkretnego podejścia do analizy ryzyka na gruncie RODO?
- Czy analizę ryzyka należy prowadzić w sposób ciągły, czy wystarczy przeprowadzić ją jednorazowo dla wszystkich procesów?
- Jak często należy aktualizować analizę ryzyka?
- Czy najpierw wykonuje się analizę ryzyka, a dopiero potem DPIA (ocenę skutków dla ochrony danych)?
- Czy wszystkie czynności przetwarzania ujęte w RCP powinny podlegać analizie ryzyka? Czy każdą z nich należy uwzględnić w rejestrze ryzyk?
- Co w sytuacji, gdy zarząd poleci mi wykonanie takiej analizy jako IOD i ograniczy swoją rolę jedynie do zapoznania się z nią oraz jej podpisania?
- Czy jeśli wycieknie 10 000 danych klientów, to skutek dla pojedynczej osoby fizycznej będzie większy? Wydaje mi się, że konsekwencje dla tej osoby są takie same, niezależnie od tego, ile danych innych klientów wyciekło równocześnie.
