Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Szacowanie ryzyka dla ODO w ujęciu praktycznym

13-11-2019 Autor: Anna Buczyńska-Borowy

Co kryje się za pojęciem „szacowanie ryzyka dla ochrony danych”  na gruncie rodo i na co szczególnie zwrócić uwagę? Przyglądamy się obowiązkom i procedurom w praktyce pracy IOD.

 

Wymagany na gruncie rodo proces szacowania ryzyka dla ochrony danych dla wielu podmiotów nadal stanowi wyzwanie, w szczególności dla małych i średnich przedsiębiorstw.

 

O szacowaniu ryzyka przeczytamy w rodo – zob. motywy: 75, 76, 85, 86, 90, 96 oraz artykuły: 24, 25, 30, 32, 33, 34, 35, 36, 39, 49.

 

Ryzyko na gruncie rodo

 

Dokonanie szacowania ryzyka dla ochrony danych (ryzyko utraty praw lub wolności osób, których dane dotyczą) jest jednym z najważniejszych procesów w kontekście zarządzania ochroną danych osobowych w organizacji (planowanie, opracowanie, wdrożenie, monitorowanie, aktualizacja). Za przeprowadzenie oraz bieżące zarządzanie ryzykiem w zakresie ODO odpowiadają administrator lub jego przedstawiciel, współadministratorzy, podmiot przetwarzający (procesor). Od wyników szacowania ryzyka zależy m.in. zastosowanie takich przepisów rodo, jak np.:

  • art. 24 (obowiązki administratora);
  • art. 25 (realizacja zasady uwzględnienia prywatności w fazie projektowania);
  • art. 30 (prowadzenie rejestru czynności przetwarzania – RCP);
  • art. 32 (bezpieczeństwo przetwarzania);
  • art. 33 (zgłaszanie naruszeń do organu nadzorczego);
  • art. 34 (powiadomienie osoby o naruszeniu);
  • art. 35 (dokonanie oceny skutków dla ochrony danych – tzw. DPIA);
  • art. 36 (uprzednie konsultacje z organem nadzorczym);
  • art. 39 (wykonywanie obowiązków przez IOD, jeżeli został powołany).

Każdy podmiot, który przetwarza dane osobowe, jest zobligowany do dokonania szacowania ryzyka dla ochrony danych.

 

Definicja ryzyka w kontekście rodo

 

W ujęciu merytorycznym ryzyko oznacza wpływ niepewności na cele. W ujęciu matematycznym ryzyko oznacza iloczyn prawdopodobieństwa wystąpienia zidentyfikowanego zagrożenia (źródła zagrożenia) oraz prawdopodobieństwo wystąpienia negatywnych skutków dla podmiotu danych. Jest to relacja przyczynowo-skutkowa. Innymi słowy, odpowiadamy na pytanie, jakie negatywne skutki dla podmiotu danych może spowodować dane źródło ryzyka, jeżeli doszłoby do jego urzeczywistnienia, materializacji.

 

Podejście do szacowania ryzyka na  gruncie rodo

 

W literaturze, komentarzach, doktrynie mówi się głównie o tzw. zarządzaniu ochroną danych osobowych opartą na ryzyku. Z praktycznego punktu widzenia oznacza to, że organizacja zobowiązana jest do oszacowania ryzyka dla ochrony danych we wszystkich procesach organizacyjnych oraz do implementacji takich rozwiązań technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzania danych osobowych adekwatnie do zidentyfikowanego ryzyka oraz które zminimalizują ewentualne negatywne skutki dla podmiotu danych w przypadku wystąpienia incydentu lub naruszenia ochrony danych. Jest to tzw. proaktywne podejście do ryzyka, które oznacza przewidywanie i zaradzenie temu ryzyku przed jego wystąpieniem: a priori, ex ante, przed faktem. A zatem rodo wymaga dokonania identyfikacji źródeł zagrożenia, analizy, ewaluacji, szacowania ryzyka przed pierwszą czynnością wykonaną na danych osobowych oraz do bieżącego monitorowania zmian, w celu wykrycia nowych źródeł ryzyka. Reaktywne podejście do ryzyka oznacza podejmowanie działań w wyniku wystąpienia ryzyka: post factum, ex post, po fakcie. Takie podejście do przetwarzania danych na gruncie rodo jest niedopuszczalne.

 

Mówi się również o tzw. procesowym podejściu do ODO, w tym również do ryzyka. Procesowe podejście do ODO w kontekście szacowania ryzyka oznacza m.in. bieżące monitorowanie źródeł ryzyka lub zagrożeń, mogących powstać negatywnych skutków dla ochrony danych, poziomu prawdopodobieństwa ich wystąpienia. Raz oszacowane ryzyko dla ochrony danych nie wystarczy. Proces szacowania ryzyka uwzględnia wszelkie bieżące zmiany w procesach w organizacji, w których zachodzi przetwarzanie danych osobowych.

 

Ważny jest kontekst ryzyka

 

W zależności od sektora rynku (np. finansowy, ubezpieczeniowy, podmioty notowane na giełdzie, badania kliniczne, IT, cyberbezpieczeństwo) sektory zobowiązane są, na mocy przepisów prawa dedykowanym tym sektorom, do przeprowadzenia analizy ryzyka we wskazanym kontekście. Na gruncie rodo kontekstem dla przeprowadzenia procesu szacowania ryzyka jest ochrona danych osobowych, ochrona praw lub wolności osób, których dane dotyczą, zapewnienie bezpieczeństwa przetwarzania danych osobowych. Może się zatem okazać, że w jednej organizacji będą obowiązywały różne metodyki lub metodologie szacowania ryzyka, których zakres merytoryczny wymaga dostosowania do kontekstu szacowanego ryzyka. Tak właśnie jest w przypadku szacowania ryzyka na gruncie rodo.

 

[...]

 

Autorka jest wiceprezesem Zarządu Fundacji im. Józefa Wybickiego, członkiem Komitetu ds. ODO w  Krajowej Izbie Gospodarczej, DPO, wykładowcą, ekspertem w  obszarze szacowania ryzyka dla ODO, certyfikowanym Audytorem Wiodącym ISO 27001, audytorem niezależnym.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.