ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

Analiza ryzka

analiza ryzyka

Co to jest analiza ryzyka?

Nie wiesz, czy masz obowiązek przeprowadzenia analizy ryzyka? Chciałbyś przeprowadzić ją zgodnie z przepisami prawa? A może zastanawiasz się, jaka jest różnica pomiędzy analizą ryzyka a oceną skutków dla ochrony danych? Z artykułu dowiesz się:

  • Kiedy należy przeprowadzić analizę ryzyka,
  • Jaka jest zalecana metoda jej przeprowadzenia,
  • Czym jest domyślny poziom ochrony,
  • Czym analiza ryzyka różni się od oceny skutków dla ochrony danych.

Analiza ryzyka

Jak już zapewne wiesz, ogólne rozporządzenie o ochronie danych (RODO) nie wprowadza szczegółowych wytycznych w zakresie metod i sposobów zapewnienia bezpieczeństwa przetwarzania danych osobowych. To na tobie – jako podmiocie uczestniczącym w przetwarzaniu danych – spoczywa obowiązek doboru właściwych środków w zakresie technicznego, informatycznego, fizycznego i organizacyjnego bezpieczeństwa ww. danych. Co ważne, zgodnie z zasadą rozliczalności, w razie kontroli, będziesz musiał wykazać, że wprowadzone przez ciebie środki są adekwatne do zdiagnozowanych zagrożeń.

Owo rozpoznanie ryzyka, jego prawdopodobieństwa oraz wpływu na procesy przetwarzania danych, a także określenie sposobów minimalizacji powinno być wynikiem przeprowadzonej przez ciebie analizy ryzyka. RODO w tym przypadku nie wprowadza konkretnej metody. Sposobem polecanym przez organy nadzorcze jest analiza oparta na kilku współczynnikach:

  • wpływu zagrożenia na utratę poufności danych osobowych, integralności danych osobowych oraz dostępności do danych osobowych,
  • współczynnika krytyczności oznaczającego krytyczność danej informacji (zasobu), czyli poziom negatywnych skutków braku dostępności do tejże informacji,
  • współczynnika prawdopodobieństwa wystąpienia danego zagrożenia.

Wynik, jaki uzyskasz z przemnożenia tychże współczynników – najczęściej określanych w skali od 1 do 9 – daje poziom danego ryzyka. Tabele pomocne w określeniu poszczególnych współczynników oraz rodzaju ryzyka znajdziesz na stronach internetowych krajowego organu nadzorczego.

W dalszym kroku, tj. po ustaleniu poziomu ryzyka dla określonego procesu, należy stwierdzić, czy i jakie środki bezpieczeństwa powinny zostać wprowadzone, aby zminimalizować prawdopodobieństwo jego wystąpienia. I tak, w przypadku, gdy określiłeś ryzyko na poziomie:

  • niskim – jest to poziom akceptowalny, dodatkowe środki bezpieczeństwa nie są wymagane,
  • średnim – jest to poziom nieakceptowalny, jednakże działanie naprawcze może zostać przesunięte w czasie, ale wymaga stałego monitorowania, należy zatem określić planowane działania oraz termin ich podjęcia,
  • wysokie – poziom wysoce nieakceptowalny, wymaga podjęcia natychmiastowego działania, powinieneś zatem niezwłocznie określić dodatkowe środki bezpieczeństwa oraz je wprowadzić.

Na marginesie należy dodać, że ww. sposób nie jest obligatoryjny. Możesz bowiem przeprowadzić proces analizy ryzyka również inną metodą. Kluczowe jest wszakże to, iż niezależnie od przyjętych sposobów oceny ryzyka, zasada rozliczalności obliguje cię do wykazania, iż ustalony przez ciebie domyślny poziom ochrony jest wystarczający.

Domyślna ochrona danych

Ustalone w powyższy sposób środki bezpieczeństwa, uzupełnione o dodatkowe środki wprowadzone w przypadku zdiagnozowania ryzyka średniego i wysokiego, określać będą twój domyślny poziom ochrony. Poziom ten ma zapewnić, że przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania, co do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych stanowi sformalizowany audyt procesów przetwarzania danych obejmujący następujące elementy:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Ocenę tą muszą przeprowadzać, jedynie niektóre podmioty. Odnosi się to mianowicie do administratorów danych, w przypadkach:

  • gdy przetwarzanie danych z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w szczególności gdy przetwarzanie dokonywane jest z użyciem nowych technologii (np. portale internetowe, usługi świadczone on-line, itp.),
  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. profilowanie klientów przez banki, zakłady ubezpieczeń),
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych (dane wrażliwe), lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa (np. przetwarzanie danych o stanie zdrowia przez szpitale),
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (np. monitoring galerii handlowych, ogólnodostępnych placów, skwerów, itp.).

W powyższych przypadkach przeprowadzenie prostej analizy ryzyka nie będzie wystarczające i musisz liczyć się z obowiązkiem dokonania oceny skutków przetwarzania dla ochrony danych.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)