Na czym polega obowiązek analizy ryzyka i DPIA?
ODPOWIEDŹ FORMALNA
Obowiązek analizy ryzyka: zgodnie z art. 32 RODO stopień bezpieczeństwa danych osobowych powinien być odpowiedni do ryzyka naruszenia praw lub wolności osób fizycznych, o różnym prawdopodobieństwie wystąpienia i wadze. Aby ocenić, jakie środki są odpowiednie, należy także uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obowiązek DPIA: zgodnie z art. 35 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena zawiera co najmniej: 1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora; 2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; 3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; 4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.
ODPOWIEDŹ PRAKTYCZNA
Obowiązek dokonywania analizy ryzyka dla zasobów przetwarzających dane osobowe w praktyce występuje zawsze, ponieważ dane zawsze należy zabezpieczyć odpowiednio do ryzyka naruszeń. Zasoby lub aktywa przetwarzające dane osobowe to np. laptop, drukarka, zbiór dokumentów papierowych, pokój archiwum, personel kadr. Brak zabezpieczeń technicznych (np. szyfrowanie, program antywirusowy) lub organizacyjnych (np. polityka czystego biurka i ekranu, odpowiedzialność dyscyplinarna) może prowadzić do incydentu.
DPIA to analiza, w której stawia się na pierwszym miejscu osoby, których dane dotyczą, i ocenia, co złego może się im stać w razie naruszenia ochrony danych. Obowiązek dokonywania DPIA zależy od tego, czy w procesie występują czynniki zwiększające prawdopodobieństwo incydentu. Przykłady takich czynników to przetwarzanie danych wrażliwych, systematyczne monitorowanie, przetwarzanie danych na dużą skalę czy wykorzystywanie innowacyjnych rozwiązań technologicznych. Występowanie takich czynników może zwiększyć prawdopodobieństwo naruszenia, a także dotkliwość jego konsekwencji.
WIĘCEJ:
- Więcej informacji znajdziesz w artykule: Szacowanie ryzyka zgodnie z RODO
- Pobierz bezpłatnie nasz szablon arkusza DPIA