RODO pytania i odpowiedzi

RODO: PYTANIA I ODPOWIEDZI

Kategoria:
Ryzyko

Dla jakiego procesu należy szacować ryzyko? Czy zasób oceniamy w kontekście konkretnego procesu?

ODPOWIEDŹ 

Ryzyko dla danego zasobu zazwyczaj szacuje się tylko raz, przyjmując najgorszy realistyczny scenariusz skutków. Oznacza to, że należy uwzględnić ten proces, w którym dany zasób przetwarza najszerszy zakres danych lub dane o najwyższej wrażliwości.

Przykładowo, jeśli jeden serwer obsługuje zarówno newsletter, jak i proces kadrowy zawierający numery PESEL oraz informacje o wynagrodzeniach, to ocena skutków powinna opierać się na procesie kadrowym. To właśnie tam potencjalny wyciek danych może mieć najpoważniejsze konsekwencje dla osób fizycznych.

W praktyce nie ma potrzeby wykonywania oddzielnej analizy tego samego zasobu dla każdego procesu, ponieważ zastosowane zabezpieczenia obejmują cały zasób niezależnie od rodzaju przetwarzania.

Wyjątkiem są sytuacje, w których zasób działa w różnych konfiguracjach dla różnych procesów, np. posiada odrębne uprawnienia, segmentację sieci lub inne mechanizmy bezpieczeństwa. W takim przypadku warto traktować go jako osobne pozycje w analizie ryzyka.

Czytaj także:

Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń e-learningowych RODO
Administratorem Twoich danych jest ODO 24 sp. z o. o.
Dla jakiego procesu należy szacować ryzyko? Czy zasób oceniamy w kontekście konkretnego procesu? | ODO 24 | ODO 24