reklama
| INFORLEX | GAZETA PRAWNA | KONFERENCJE | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
reklama
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Prawo > RODO w firmie > Szacowanie ryzyka zgodnie z RODO

Szacowanie ryzyka zgodnie z RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

Przy wykonywaniu lub planowaniu tego procesu można skorzystać również z materiałów opublikowanych przez Grupę Roboczą art. 29, szczególnie wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, a także wielu innych opracowań, m.in. PN-ISO/IEC 29134:2018-11 „Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dotyczące oceny skutków dla prywatności” czy aplikacji „Privacy Impact Assessments”, opublikowanej przez CNIL.

Drugi proces zarządzania ryzykiem

Drugi proces zarządzania ryzykiem skupia się na ryzyku w zakresie bezpieczeństwa danych, a dokładniej mówiąc – na ocenie, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych (na obowiązek ten wskazuje art. 24 oraz art. 32 RODO). Tak więc chodzi tu o zasoby, za pomocą których organizacja przetwarza dane osobowe, tj. personel, komputery, systemy informatyczne, strony internetowe czy lokalizacje i pomieszczenia. To właśnie zasoby – a nie operacje przetwarzania – zabezpiecza się za pomocą technicznych i organizacyjnych środków ochrony danych, dlatego tak istotne jest przypisanie zasobów do operacji przetwarzania. Organizacja i wykonanie procesu zarządzania ryzykiem wymagają zastosowania odpowiedniej metodyki, której niestety nie znajdziemy w RODO. Dlatego mając na uwadze podobieństwo RODO do ISO/IEC 27001, możemy wykorzystać elementy metodyki zarządzania ryzykiem w bezpieczeństwie informacji z normy ISO/IEC 27005 lub normy ISO 31000. Stosowanie międzynarodowych norm do wykonania tego procesu zarządzania ryzykiem jest uzasadnione jeszcze z jednego powodu, a mianowicie Prezes Urzędu Ochrony Danych Osobowych udostępnił publikacje: „Jak rozumieć podejście oparte na ryzyku” oraz „Jak stosować podejście oparte na ryzyku?”, w których sam wykorzystał właśnie międzynarodowe normy ISO.

Pomimo możliwości zastosowania norm ISO do zarządzania ryzykiem zgodnie z RODO, niewskazującym rozwiązań technologicznych, są też pewne zmienne, które należy uwzględnić, tj.:

  • rodzaje zabezpieczeń, wskazane m.in. w art. 32 ust. 1 lit. a–c RODO:
    • pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO),
    • szyfrowanie – jest to środek minimalizujący ryzyko, wskazany np. w motywie 83 RODO,
    • zapewnienie poufności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne tylko tym osobom, które mają odpowiednie upoważnienia i nadane dostępy do danych,
    • zapewnienie integralności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane mogą edytować lub w nie ingerować tylko te osoby, które są do tego upoważnione i mają odpowiednie uprawnienia,
    • zapewnienie dostępności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne dla osób chcących z nich skorzystać w określonym czasie,
    • zapewnienie odporności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są zabezpieczone przed ich nieuprawnionym lub przypadkowym usunięciem, modyfikacją, ujawnieniu lub udostępnieniu,
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego – rozumiana jako element systemu zachowania ciągłości działania, nakierunkowany na przywróceniu dostępności danych osobowych w zadanym czasie odtworzenia, tzw. RTO (Recovery Time Obtect);
  • skuteczność zabezpieczeń, czyli jak wskazuje art. 32 ust. 1 lit. d RODO: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
reklama

Przydatne formularze online

Czytaj także

Data publikacji:

Ekspert:

ODO 24

ODO 24 – to firma, która od 2012 roku oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Stawia na merytorykę, praktyczne rozwiązania oraz trwałe relacje z klientami budowane w oparciu o partnerstwo, uczciwość i zaufanie. Swoim klientom pomaga chronić dane, minimalizując ryzyko związane z kontrolą, wyciekiem lub ich utratą.

Zdjęcia

Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock

Pracodawca w kryzysie (PDF)49.00 zł
reklama

Narzędzia przedsiębiorcy

reklama
reklama

POLECANE

reklama

Koronawirus a przedsiębiorcy

reklama

Ostatnio na forum

reklama

Pomysł na biznes

reklama

Eksperci portalu infor.pl

FakturaXL.pl

FakturaXL.pl jest producentem oprogramowania w zakresie fakturowania online dla firm i biur rachunkowych. Od ponad 12 lat tworzymy z pasją rozwiązania IT.

Zostań ekspertem portalu Infor.pl »
reklama
reklama
reklama