Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 12 PAŹDZIERNIKA 2018

 

Prowadzenie analizy ryzyka zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych

 

Opracowała: Marta Handzlik-Rosuł, absolwentka Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego. Specjalizuje się w prawie oświatowym i prawie pracy. Jest praktykującym prawnikiem z wieloletnim doświadczeniem zawodowym i byłym pracownikiem Ministerstwa Edukacji Narodowej. Autorka książki Finanse w oświacie. Prawo oświatowe w pytaniach i odpowiedziach, a także licznych artykułów, aktualności i komentarzy

 

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L 119/1).

 

Rozporządzenie o ochronie danych (RODO) nie odnosi się wprost do procesu zarządzania ryzykiem ani nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Dlatego też każdy podmiot musi dokonywać jej samodzielnie, mając na uwadze wiele specyficznych dla niego czynników, jak np.: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania.

 

Każda organizacja, która przetwarza dane osobowe, narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, mogących powodować naruszenie bezpieczeństwa, a w konsekwencji prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ryzyko w przetwarzaniu danych wiąże się z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność, powodując w ten sposób szkodę dla organizacji.

 

Ustalenie kontekstu przetwarzania danych

 

Ustalenie kontekstu polega na określeniu wszystkich informacji i uwarunkowań, które są związane z działaniem danej organizacji, a także jej zadań. Każda organizacja ma aktywa organizacyjne, w tym właśnie dane osobowe, wobec czego zadaniem każdej organizacji jest oszacowanie ryzyka i czynników na to ryzyko wpływających. Czynniki te można podzielić na wewnętrzne, czyli leżące w samej organizacji:

 

  • strukturę organizacji,
  • jej rozmiar,
  • system obiegu informacji,
  • procesy podejmowania decyzji w organizacji,
  • normy i standardy przyjęte przez daną organizację.

 

Do zewnętrznych czynników wpływających na ryzyko zaliczyć należy te, które leżą poza samą organizacją i dotyczą np. środowiska prawnego, korzystania z usług i zasobów podmiotów zewnętrznych. W celu oszacowania ryzyka należy zidentyfikować i sklasyfikować wszystkie aktywa organizacji, które wiążą się z przetwarzaniem danych osobowych. Do aktywów tych należy zaliczyć:

 

  • posiadaną wiedzę,
  • personel,
  • sprzęt,
  • oprogramowanie,
  • inne środki techniczne i organizacyjne związane z przetwarzaniem danych osobowych.

 

Kolejnym krokiem jest ustalenie kto i za co ponosi odpowiedzialność w danej organizacji. Należy więc ustalić, który pracownik odpowiada za konkretne zadania i obowiązki oraz czy wiążą się one z przetwarzaniem danych osobowych. Gdy ustalone zostanie kto ponosi odpowiedzialność za jakie zadania, należy określić wartość aktywów danej organizacji.

 

Innym krokiem jest dokonanie opisu stosowanych zabezpieczeń i innych ograniczeń. Głównym celem stosowania zabezpieczeń jest zmniejszenie występującego ryzyka. W celu określenia istniejących zabezpieczeń można wykorzystać:

 

  • regulacje już funkcjonujące w organizacji,
  • dokumentację wdrożonych rozwiązań technicznych i fizycznych.

 

W kontekście klasyfikacji zabezpieczeń dla systemów największe znaczenie ma zgodność z przepisami RODO. Należy więc zidentyfikować wszystkie wynikające z przepisów prawa zobowiązania prawne, nadzorcze, umowne oraz podejście do ich przestrzegania.

 

Ostatnim krokiem jest określenie kryteriów akceptacji ryzyka, które definiuje się zwykle przez wartość progową w określonych przedziałach, np. 0–2, 3–6, 7–9. Kryteria akceptacji ryzyka są istotne w postępowaniu z ryzykiem, ponieważ na ich podstawie podejmowane są decyzje dotyczące zidentyfikowanych ryzyk w zakresie ich dopuszczalności.

 

Mechanizmy kontroli

 

Najważniejszym celem tego etapu jest dokonanie opisu identyfikacji zastosowanych środków bezpieczeństwa i mechanizmów kontrolnych mających na celu spełnienie wymagań biznesowych, prawnych i innych ograniczeń dla procesów przetwarzania danych, w tym danych osobowych. W tym miejscu warto podkreślić, że dla każdego procesu przetwarzania danych najważniejszą rzeczą jest sprawdzenie, czy dane osobowe są przetwarzane:

 

  • zgodnie z zasadami wyrażonymi w RODO,
  • na podstawie jednej z przesłanek wskazanych w przepisach,