Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 14 WRZEŚNIA 2018

 

Prowadzenie analizy ryzyka zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych

 

OPRACOWAŁA: Marta Handzlik-Rosuł, absolwentka Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego. Specjalizuje się w prawie oświatowym i prawie pracy. Jest praktykującym prawnikiem z wieloletnim doświadczeniem zawodowym i byłym pracownikiem Ministerstwa Edukacji Narodowej. Jest autorką książki Finanse w oświacie. Prawo oświatowe w pytaniach i odpowiedziach, a także licznych artykułów, aktualności i komentarzy

 

Na wstępie należy podkreślić, że rozporządzenie o ochronie danych (RODO) nie odnosi się wprost do procesu zarządzania ryzykiem ani nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Dlatego też każdy podmiot musi dokonywać jej samodzielnie, mając na uwadze wiele specyficznych dla niego czynników, jak np.: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania.

Każda organizacja, która przetwarza dane osobowe, narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, mogących powodować naruszenie bezpieczeństwa, a w konsekwencji prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Ryzyko w przetwarzaniu danych wiąże się z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność, powodując w ten sposób szkodę dla organizacji.

Ustalenie kontekstu przetwarzania danych

Ustalenie kontekstu polega na określeniu wszystkich informacji i uwarunkowań, które są związane z działaniem danej organizacji, a także jej zadań. Każda organizacja ma aktywa organizacyjne, w tym właśnie dane osobowe, wobec czego zadaniem każdej organizacji jest oszacowanie ryzyka i czynników na to ryzyko wpływających. Czynniki te można podzielić na wewnętrzne, czyli leżące w samej organizacji:

  • strukturę organizacji,
  • jej rozmiar,
  • system obiegu informacji,
  • procesy podejmowania decyzji w organizacji,
  • normy i standardy przyjęte przez daną organizacje.

Do zewnętrznych czynników wpływających na ryzyko zaliczyć należy te, które leżą poza samą organizacją i dotyczą np. środowiska prawnego, korzystania z usług i zasobów podmiotów zewnętrznych.

W celu oszacowania ryzyka należy zidentyfikować i sklasyfikować wszystkie aktywa organizacji, które wiążą się z przetwarzaniem danych osobowych. Do aktywów tych należy zaliczyć:

  • posiadaną wiedzę,
  • personel,
  • sprzęt,
  • oprogramowanie,
  • inne środki techniczne i organizacyjne związane z przetwarzaniem danych osobowych.

Kolejnym krokiem jest ustalenie kto i za co ponosi odpowiedzialność w danej organizacji. Należy więc ustalić, który pracownik odpowiada za jakie konkretne zadania i obowiązki oraz czy owe zadania i obowiązki wiążą się z przetwarzaniem danych osobowych. Gdy ustalone zostanie kto ponosi odpowiedzialność za jakie zadania, należy określić wartość aktywów danej organizacji.

Innym krokiem jest dokonanie opisu stosowanych zabezpieczeń i innych ograniczeń. Głównym celem stosowania zabezpieczeń jest zmniejszenie występującego ryzyka. W celu określenia istniejących zabezpieczeń można wykorzystać:

  • regulacje już funkcjonujące w organizacji,
  • dokumentację wdrożonych rozwiązań technicznych i fizycznych.

W kontekście klasyfikacji zabezpieczeń dla systemów największe znaczenie ma zgodność z przepisami RODO. Należy więc zidentyfikować wszystkie wynikające z przepisów prawa:

  • zobowiązania prawne,
  • nadzorcze,
  • umowne,

oraz podejście do ich przestrzegania.

Ostatnim krokiem jest określenie kryteriów akceptacji ryzyka, które definiuje się zwykle przez wartość progową w określonych przedziałach, np. 0–2, 3–6, 7–9. Kryteria akceptacji ryzyka są o tyle istotne w postępowaniu z ryzykiem, że na ich podstawie podejmowane są decyzje dotyczące zidentyfikowanych ryzyk w zakresie ich dopuszczalności.

Mechanizmy kontroli

Najważniejszym celem tego etapu jest dokonanie opisu identyfikacji zastosowanych środków bezpieczeństwa i mechanizmów kontrolnych mających na celu spełnienie wymagań biznesowych, prawnych i innych ograniczeń dla procesów przetwarzania danych, w tym danych osobowych.

W tym miejscu warto podkreślić, że dla każdego procesu przetwarzania danych najważniejszą rzeczą jest sprawdzenie, czy dane osobowe są przetwarzane:

  • zgodnie z zasadami wyrażonymi w RODO,
  • na podstawie jednej z przesłanek wskazanych w przepisach,
  • przy zapewnieniu osobom, których dane dotyczą, możliwości realizacji ich praw wskazanych w przepisach.