Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Zarządzanie ryzykiem w ochronie danych osobowych

12-05-2021 Autor: Piotr Wojczys

W tekście rodo (wersja angielska) słowo „risk” pojawia się aż 75 razy, czyli występuje średnio prawie na każdej stronie. Rozpowszechnione u nas pojęcie analizy ryzyka nie oddaje sensu, jakie rodo wiąże z tym terminem, czyli „risk approach”. Podejście oparte na ryzyku wskazuje bowiem, że obszar ryzyk w kontekście rodo po prostu musi być zarządzany.

 

Konieczność stosowania w ochronie danych osobowych podejścia opartego na ryzyku wynika przede wszystkim z zapisów art. 32 rodo. W przepisie tym:

  1. w ust. 1 wskazano, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst, cele przetwarzania i ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;
  2. w ust. 2 wskazano, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się głównie ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Niczego nie umniejszając podejściu opartemu na ryzyku, zarządzanie ryzykiem zmniejsza tak naprawdę tylko obszar naszej niepewności dotyczącej ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Racjonalne wydaje się przy tym postrzeganie tych zagadnień przede wszystkim z perspektywy wystąpienia różnych szkód i niedogodności dla podmiotów danych na skutek wadliwego, w kontekście rodo, przetwarzania ich danych osobowych. Zagadnienie naruszenia praw i wolności osadzonych w samym rodo (np. prawo do bezpiecznego przetwarzania danych) jest kwestią złożoną i niezbyt oczywistą, która dopiero zaczyna być szerzej rozpoznawana.

 

Specyfika szacowania ryzyka

Szacowanie ryzyka, czyli całościowy proces analizy i oceny ryzyka, należy przeprowadzać, mając nieustannie na uwadze:

  • zakres i charakter danych osobowych występujących w procesie przetwarzania danych;
  • kontekst, w którym dane są przetwarzane;
  • przebieg procesu przetwarzania danych i charakter jego elementów;
  • istniejące oraz możliwe do zastosowania zabezpieczenia.

Dane osobowe mają swój „cykl życia”, dlatego przy określaniu poziomu ryzyka oraz ocenie skuteczności stosowanych zabezpieczeń należy odnieść się do etapów rozpatrywanej czynności (procesu) przetwarzania danych osobowych (patrz: Etapy…).

Aby przeprowadzić szacowanie ryzyka, trzeba zidentyfikować i w jakiś sposób skatalogować przewidywalne zagrożenia w odniesieniu do kontekstu i środowiska przetwarzania danych osobowych. Podobnie sprawy mają się z posiadanymi lub dostępnymi, a potencjalnie możliwymi do zastosowania środkami bezpieczeństwa (zabezpieczeniami). Dzięki temu rozpatrując proces przetwarzania danych, można skupiać się już na ścieżkach ryzyka prowadzących od zagrożeń do następstw (materialnych i niematerialnych szkód i niedogodności dla podmiotów danych). Umieszczanie na tych ścieżkach odpowiednio dobranych zabezpieczeń blokuje drogę zagrożeniom. Są to działania profilaktyczne, które zabezpieczają przed wystąpieniem naruszenia ochrony danych osobowych.

Jeśli nie powiodą się działania profilaktyczne, pozostają już tylko działania korekcyjne, czyli ograniczanie następstw naruszenia, jednak ich katalog jest już znacznie bardziej ograniczony. Można tu wskazać np. próby zmniejszania skali naruszenia lub czasu jego trwania. Charakter korekcyjny ma także niezwłoczne podejmowanie działań notyfikacyjnych – zgłaszanie naruszeń ochrony danych do organu i zawiadamianie podmiotu danych. Podobne działania można podjąć, gdy istnieje możliwość szybkiego zidentyfikowania osób, które przypadkowo i w sposób nieuprawniony uzyskały dostęp do danych osobowych. Wówczas mogą być wobec nich podejmowane odpowiednie działania, zanim w jakikolwiek sposób (niewłaściwie) wykorzystają one te dane, np. wzywając niewłaściwego odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych przez niego danych. Zasadniczo jednak w ochronie danych osobowych sprawdza się niezawodna zasada „lepiej zapobiegać niż leczyć”.

 

Praktyka i ograniczenia szacowania ryzyka

 

W praktyce często dokonywane są działania o charakterze, nazwijmy to, rytualnym. Udokumentowane działania związane z szacowaniem ryzyka są postrzegane jako pewny, przekonujący środek zapewniający rozliczalność ADO. Czy jednak w rzeczywistości służy to czemuś więcej? Pytanie to jest o tyle zasadne, że przeprowadzeniem wspomnianego rytuału bywa obarczany IOD i to nierzadko jednoosobowo. Jednocześnie ma on, zwłaszcza w większej organizacji, ograniczone informacje dotyczące głębszej natury i przebiegu wszystkich procesów, programów czy projektów, których dotyczy szacowanie ryzyka. Ta wiedza jest, a przynajmniej powinna być, obecna u właścicieli procesów i kadry zarządzającej. To tylko jedno ogniwo bardzo długiego łańcucha możliwych wypaczeń w zarządzaniu ryzykiem.

 

[...]

 

Autor jest doświadczonym IOD oraz certyfikowanym audytorem systemów informatycznych (CISA) i kontroli wewnętrznej (CICA).

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.