Blog

24 10/2018
Kategoria:

Ryzyko w przetwarzaniu danych – DPIA w RODO

Ogólnie znane jako RODO rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych, obowiązuje już prawie 5 miesięcy. Boom na szkolenia, certyfikaty i ‘szafy RODO’ jakby zmalał. Może dlatego, że ‘winter is coming’, a może dlatego, że nie jest to już ‘medialny’, temat. Nie medialny, jednak wciąż aktualny temat, to analiza ryzyka – jedna z większych zmian jaka weszła z RODO.

Ryzyko – definicja

Przepisy rozporządzenia nakładają na administratorów obowiązek wdrożenia odpowiednich środków zapewniających przestrzeganie zapisów RODO oraz możliwość wykazania tych przepisów, uwzględniając przy tym m.in. „ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” (art. 24 ust. 1). Ale czym tak naprawdę jest ryzyko w rozumieniu RODO? W art 29. Grupy Roboczej możemy przeczytać, że:

„Ryzyko” jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka.”

„Zarządzanie ryzykiem” można natomiast zdefiniować jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka. “

Sprawdź Zarządzanie Ryzykiem z LOG System

 

 

Analiza ryzyka ws RODO

W zapisach ogólnego rozporządzenia o ochronie danych (RODO) nie znajdziemy informacji o narzuconej przez prawo metodyce przeprowadzania procesu zarządzania ryzykiem.  Administrator musi samodzielnie dobrać metodę, która odpowiadać będzie specyfice danego podmiotu uwzględniając przy tym zakres, cel i rodzaj przetwarzanych danych. Dodatkowo ADO musi mieć na względzie wielkość, strukturę, a także możliwości organizacyjne, techniczne i finansowe, pamiętając przy tym, że ocena ryzyka, jaką otrzyma przy zastosowaniu wybranej metody, powinna dać rzetelne i obiektywne informacje.

Należy pamiętać, że analiza ryzyka jest jednym z elementów narzuconej przez RODO oceny skutków dla ochrony danych (ang. Data Protection Assessments Impact, DPIA). Grupa Robocza, art 29, definiuje DPIA jako:

“Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. “

Ponadto w artykule 29 możemy znaleźć informację, że DPIA są ważnym narzędziem ze względów rozliczalności. Procedury mają na celu pomóc administratorom w przestrzeganiu zapisów rozporządzenia, jak również wykazać, że podjęto odpowiednie środki w celu zapewnienia przestrzegania zapisów RODO. Podsumowując “ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.”
Jak zatem wybrać metodę, która spełni takie wymagania?

 

 

Jak dobrać metodę oceny ryzyka?

Istnieje wiele różnorodnych metod szacowania ryzyka, które najogólniej dzieli się na metody ilościowe i jakościowe. Jak już wspomniano, RODO nie wskazuje na jedną, konkretną metodę. Skąd zatem czerpać inspirację w celu dobrania odpowiedniej dla organizacji metody? Jak wskazuje UODO (obecnie PUODO) inspiracje można czerpać m.in w normach ISO/IEC, dokumencie PIA Methodology CNIL June 2015,
czy dokumentach ISACA. Wymienione dokumenty powstały przed RODO (poza normą ISO/IEC 29134 Information technology Security techniques
Guidelines for privacy impact assessment), niemniej powstawały na gruncie wieloletnich doświadczeń i najlepszych praktyk.

Ważne jest zatem, aby wybrana metoda umożliwiała rzetelną i obiektywną ocenę. Obecnie na rynku istnieją rozwiązania, w tym organizacyjne i techniczne, oparte na dobrych praktykach związanych z ochroną i przetwarzaniem danych. Administratorzy coraz chętniej sięgają po nie, mając na uwadze dobro organizacji oraz postęp systemów informatycznych.

 

Sprawdź Zarządzanie Ryzykiem z LOG System

 

 

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close