Czy analizę ryzyka należy prowadzić w sposób ciągły, czy wystarczy przeprowadzić ją jednorazowo dla wszystkich procesów?

ODPOWIEDŹ

Analizę ryzyka należy prowadzić w sposób iteracyjny, absolutnie nie wystarczy przeprowadzić jej
jednorazowo. Traktowanie wdrożenia środków bezpieczeństwa i szacowania ryzyka jako działania
jednorazowego, w którym brakuje późniejszej weryfikacji po pierwszej analizie, jest powszechnym
błędem i nieprawidłowym podejściem, niezgodnym z wymogami Urzędu Ochrony Danych
Osobowych.

Wdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych powinno
przybrać postać procesu na każdym etapie cyklu życia danych, w ramach którego organizacja
regularnie dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte zabezpieczenia.

Konieczność ciągłego prowadzenia analizy i monitorowania środowiska wynika z kilku kluczowych
faktów:

• Nowe zagrożenia i ryzyka mogą zmaterializować się lub ujawnić samoistnie, w sposób
  całkowicie niezależny od działań samego administratora, co wymusza konieczność
  regularnej weryfikacji adekwatności wdrożonych rozwiązań.
• Podczas cyklu życia danych następują zmiany w procesach biznesowych, systemach
  informatycznych czy u dostawców usług (podmiotów przetwarzających), co każdorazowo
  wymaga ponownej oceny ryzyka.
• Same przepisy RODO (art. 32 ust. 1 lit. d) wymuszają obowiązek regularnego testowania,
  mierzenia i oceniania skuteczności wdrożonych środków bezpieczeństwa. Działania te
  muszą być planowane w sposób świadomy i dokonywane w określonych przedziałach
  czasowych (według harmonogramu), a nie wyłącznie w sposób doraźny.