Czy dla każdej operacji robimy analizę ryzyka i jak często ja robić?
ODPOWIEDŹ
Analiza ryzyka, o której mowa w art. 32 RODO, powinna być przeprowadzona przed rozpoczęciem przetwarzania danych lub wdrożeniem nowego zasobu uczestniczącego w operacjach przetwarzania. Jest to kluczowy element zasady ochrony danych w fazie projektowania (data protection by design). Nasza metodologia opiera się na identyfikacji zasobów, a następnie przypisaniu do nich potencjalnych zagrożeń, zabezpieczeń technicznych i organizacyjnych oraz podatności. W przypadku wprowadzenia zmian w infrastrukturze lub wdrożenia nowego systemu biznesowego, konieczne jest dokonanie przeglądu analizy ryzyka i jej aktualizacja w celu uwzględnienia nowych elementów. Aby analiza ryzyka odzwierciedlała aktualne zagrożenia i zmieniające się warunki przetwarzania danych, powinna być systematycznie aktualizowana. Zaleca się jej przegląd co najmniej raz w roku lub w innych cyklach zgodnych z polityką organizacji. Dodatkowo każdorazowo po wystąpieniu naruszenia ochrony danych osobowych należy przeprowadzić ponowną ocenę, aby zweryfikować skuteczność zastosowanych środków zabezpieczających.