Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Nowa optyka w ocenie ryzyka

05-12-2017 Autor: Andrzej Kaczmarek, Agnieszka Łapińska, Agata Miłocha, Monika Młotkiewicz

Zasada podejścia opartego na ryzyku (ang. risk based approach) polega na uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzanych danych oraz ryzyku naruszenia praw i wolności osób, których dane dotyczą, przy ustalaniu sposobu i środków bezpieczeństwa.

 

Zgodnie z motywem 2 preambuły rodo zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą, niezależnie od obywatelstwa czy miejsca zamieszkania takich osób, naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych.


Wdrożenie zasady podejścia opartego na ryzyku wymaga dokonania szczegółowej analizy prowadzonych procesów przetwarzania danych, a następnie stałej, samodzielnej oceny ryzyk, na jakie jest narażone przetwarzanie danych oraz prawa i wolności osób fizycznych w konkretnym przypadku. Takie podejście umożliwia skoncentrowanie się na przypadkach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie.

Należy poszukiwać środków redukujących skutki lub prawdopodobieństwo wystąpienia najbardziej dotkliwych zagrożeń dla praw osoby przy jednoczes­nym zachowaniu odpowiedniego poziomu ochrony, gdy zagrożenia te są niewielkie i mało prawdopodobne.

Rodo ugruntowuje dotychczasowy dorobek

Podejście oparte na ryzyku zasadza się na dotychczasowym, europejskim, blisko 40-letnim dorobku legislacyjnym i orzeczniczym. Zgodnie z art. 17 ust. 1 dyrektywy 95/46/WE administrator danych jest zobowiązany do przyjęcia zabezpieczeń odpowiednich do zagrożeń, stanu wiedzy technicznej oraz kosztu realizacji. W Polsce obowiązek przeprowadzenia oceny ryzyka i właściwego dobrania środków technicznych i organizacyjnych w zależności od zagrożeń oraz kategorii danych objętych ochroną wynika z art. 36 ust. 1 uodo. Rodo ugruntowuje dotychczasowy dorobek, z jednej strony koncentrując się na podstawowych, obowiązujących już zasadach ochrony danych osobowych, z drugiej – dążąc do ich przeniesienia na poziom praktycznych rozwiązań.

Ryzyko naruszenia praw lub wolności

Pojęcie ryzyka nie zostało wprost zdefiniowane w przepisach rodo, ale używa się go w odniesieniu do naruszenia praw i wolności osób fizycznych, których dane dotyczą. Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określać poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych i oceniać na podstawie obiektywnej oceny, w której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko (motyw 75 i 76).

W odniesieniu do ryzyka rodo posługuje się miarą wskaźnikową, w której występują następujące wartości: brak ryzyka, ryzyko, poważne ryzyko oraz wysokie ryzyko.

Ponadto w wielu przepisach rodo w odniesieniu do skali naruszenia praw i wolności osób fizycznych używa się wyłącznie pojęcia ryzyka, co oznacza, że szacując poziom ryzyka, należy uwzględnić wymienione wcześniej parametry zdarzenia powodującego naruszenie praw i wolności osoby fizycznej.
 
Metoda oceny ryzyka

Rodo nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Niewątpliwie jednak jednym ze skutecznych, systemowych sposobów dokonywania takiej oceny jest wdrożenie procesu zarządzania ryzykiem w danej jednostce. Obecnie jest dostępnych wiele metod, z których można czerpać inspirację i dobre przykłady dla tworzenia własnych rozwiązań. Najogólniej dzielą się one na metody ilościowe i wskaźnikowe.

W odniesieniu do przetwarzania informacji najczęściej stosuje się metody wskaźnikowe z uwagi na trudność określenia i przypisania występującym przy przetwarzaniu informacji zdarzeniom miar ilościowych w zakresie zarówno prawdopodobieństwa wystąpienia określonych zdarzeń, jak i wielkości jego skutków.

[...]
 

Autorzy są pracownikami Biura Generalnego Inspektora

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.