reklama
| INFORLEX | GAZETA PRAWNA | KONFERENCJE | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
reklama
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Prawo > RODO w firmie > Szacowanie ryzyka zgodnie z RODO

Szacowanie ryzyka zgodnie z RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

RODO w wielu aspektach jest podobne do norm ISO, a zwłaszcza do normy ISO/IEC 27001 „Zarządzanie systemem bezpieczeństwa informacji”. W szczególności podobieństwo widać w założeniu budowania systemu ochrony danych, działającego zgodnie z podejściem opartym na ryzyku (ang. risk-based approach). Oznacza to zalecenie stosowania takich środków bezpieczeństwa, które mają odpowiednio zabezpieczyć dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem (art. 32 ust. 2 RODO).

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z przetwarzaniem danych osobowych (dokładnie 72 razy). Tym samym przepisy wskazują wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem, czyli procesu identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, mającego w sposób racjonalny zapewnić, że cele organizacji zostaną zrealizowane. Należy zauważyć, że „ryzyko” w RODO występuje przy takich sformułowaniach, jak: ryzyko naruszenia praw lub wolności osób fizycznych, ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z operacji przetwarzania, ryzyko w zakresie bezpieczeństwa danych, ryzyko związane z przetwarzaniem danych osobowych. Dlatego nie mówimy tu o jednym procesie zarządzania ryzykiem, lecz o minimum dwóch.

Polecamy: Jak przygotować się do zmian w 2020 r.

Pierwszy proces zarządzania ryzykiem

Pierwszy proces zarządzania ryzykiem wchodzi w skład oceny skutków dla ochrony danych (DPIA). Dokładnie rzecz ujmując, jest to element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c RODO). Jak wskazuje RODO, w ramach tego procesu analizuje się operacje przetwarzania. Wskazówki oraz parametry do wykonania tego procesu znajdują się w tekście RODO, mianowicie:

  • Zagrożenia dla osób fizycznych są wskazane w motywie 75 RODO: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
  • Zdarzenia mogące doprowadzić do zmaterializowania się zagrożeń są wskazane w art. 32 ust. 2 RODO: „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
  • Poziomy ryzyka są wskazane w motywie 76 RODO: „Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.
reklama

Przydatne formularze online

Czytaj także

Data publikacji:

Ekspert:

ODO 24

ODO 24 – to firma, która od 2012 roku oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Stawia na merytorykę, praktyczne rozwiązania oraz trwałe relacje z klientami budowane w oparciu o partnerstwo, uczciwość i zaufanie. Swoim klientom pomaga chronić dane, minimalizując ryzyko związane z kontrolą, wyciekiem lub ich utratą.

Zdjęcia

Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock

INFORLEX Biznes509.00 zł
reklama

Narzędzia przedsiębiorcy

reklama
reklama

POLECANE

reklama

Koronawirus a przedsiębiorcy

reklama

Ostatnio na forum

reklama

Pomysł na biznes

reklama

Eksperci portalu infor.pl

EXCO A2A Polska

EXCO A2A Polska (www.exco.pl) jest polską filią Grupy EXCO (www.exco.fr) France, sieci niezależnych biur działających w zakresie audytu, ekspertyz księgowych oraz doradztwa.

Zostań ekspertem portalu Infor.pl »
reklama
reklama
reklama