GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
5 kwietnia 2023

Analiza ryzyka a RODO – przeprowadź i nie ryzykuj!

Analiza ryzyka nie jest pojęciem bezpośrednio zdefiniowanym w RODO, przeprowadzenie jej jest jednak jednym z najważniejszych obowiązków administratorów i podmiotów przetwarzających.

Analiza ryzyka a RODO – przeprowadź i nie ryzykuj!

A co to ta analiza ryzyka?

Analiza ryzyka wynikająca z RODO to element procesu zarządzania ryzykiem w organizacji, ale nie dla samej organizacji, która przetwarza dane osobowe. Celem analizy jest szacowanie prawdopodobieństwa wystąpienia oraz skutków – następstw naruszenia dla osób, których dane są przetwarzane. Stanowi integralną cześć etapu planowania projektu i zarządzania ryzykiem. Pozwala on na identyfikowanie i zarządzanie ryzykiem w celu jego eliminacji lub zminimalizowania do akceptowalnego poziomu.

Kiedy należy przeprowadzić analizę ryzyka?

W RODO nie jest wskazane wprost kiedy należy przeprowadzić analizę ryzyka i z jaką częstotliwością. Jednakże przepisy zobowiązują, aby stanowiła ona punkt wyjścia przy doborze odpowiednich środków technicznych i organizacyjnych dla procesów przetwarzania. Zatem już na etapie planowania przetwarzania (projektowanie nowego  procesu) lub modyfikacji funkcjonującego już procesu w którym dochodzi do przetwarzania danych należy dokonać analizy ryzyka. Ponadto trzeba pamiętać, że zarządzenie ryzykiem jest procesem a nie projektem. Podlega zatem okresowym przeglądom i aktualizacjom podczas trwania procesu, kiedy to mogą się pojawić nowe zagrożenia dla praw i wolności, które wcześniej nie zostały uwzględnione.

 

Szkolenie_analiza ryzyka w RODO

 

Jak przeprowadzić analizę ryzyka?

Metoda przeprowadzenia analizy ryzyka nie jest z góry narzucona. Administrator może posłużyć się na przykład metodą ilościową zaproponowaną przez UODO, czy też jakościowa. Sama metoda powinna więc być konkretna, obiektywna i operacyjnie użyteczna. Pamiętać jednak należy, że administrator musi udokumentować przeprowadzoną analizę ryzyka. Rejestr czynności przetwarzania jest bardzo przydatny przy wstępnej analizie. Proces zarządzania ryzykiem powinien obejmować:

  • Ustanowienie kontekstu,
  • Szacowanie ryzyka, na który składa się jego identyfikacja, analiza oraz ocena,
  • Postępowanie z ryzykiem

Jakie są korzyści wynikające z zarządzania ryzykiem ?

Zarządzanie ryzykiem w sposób świadomy i ustrukturyzowany pozwala zidentyfikować potencjalne i istniejące zagrożenia dla podmiotu danych wynikające z przetwarzania danych w różnych celach i w zakresie niezbędnym do ich osiągnięcia. Dzięki temu możliwa jest identyfikacja i ocena zagrożeń, jak również dobór odpowiednich – skutecznych środków technicznych, ograniczających poziom ryzyka już na etapie planowania. Dzięki czemu możliwa jest ocena czy dane mogą być przetwarzane w  określonych celach w sposób bezpieczny. Ponadto może się okazać, że planowany proces niesie ze sobą zbyt duże zagrożenia i można dość wcześnie z niego zrezygnować.

Analiza ryzyka – czyli o co tyle hałasu?

Kto jest odpowiedzialny za przeprowadzenie analizy ryzyka według RODO?

Za przeprowadzenie analizy ryzyka odpowiada i administrator i podmiot przetwarzający, wymagane jest to w ramach realizacji obowiązków wynikających m.in. z art. 32 RODO – czyli doboru odpowiednich środków bezpieczeństwa.

Analiza ryzyka w służbie RODO

Najczęściej popełniane błędy

Jednym z zasadniczych błędów popełnianych przy wdrażaniu oraz przeprowadzaniu analizy ryzyka w organizacji jest przeprowadzenie jej „dla organizacji” – czyli określenie skutków dla administratora/podmiotu przetwarzającego w przypadku wystąpienia naruszenia oraz określenie poziomu oddziaływania skutków na organizację zamiast na osoby, których dane mają być lub są przetwarzane.

Innym częstym błędem jest sporządzenie oceny ryzyka w oderwaniu od procesu. Powoduje to brak możliwości prawidłowego określenia celu, kategorii osób, których dane są przetwarzane, zakresu danych adekwatnych do tego celu, zasobów służących do jego osiągnięcia a w konsekwencji prawidłowej identyfikacji skutków oraz ich wpływu na podmiot danych. Konsekwencją takiej oceny ryzyka oderwanej od procesów jest również brak możliwości stwierdzenia, czy uruchomienie procesu w którym przetwarzane są dane w ogóle jest możliwe.

Autor: Arkadiusz Rzycki
Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies